Oscour! Winupgro ou équivalent, très méchant Fermé

Question

Bonjour,
j'ai déjà vu les dégâts causés par Winupgro.... et maintenant, j'ai pire!

J'ai acheté un nouveau DD 500GO et réinstallé Windows XP Pro dessus, puis tous les logiciels et documents de la famille.
J'ai téléchargé hier un fichier (Jeroboam 6.15) sur eMule, qui est sensé être un shareware de gestion de cave à vin en essai libre avant achat. Je pense que c'est lui qui m'a fichu la m.....

Jusqu'à hier soir, le PC marchait bien. Ce matin, pas de connexion Internet, puis Outlook Express qui ne connecte pas. Je vérifie les voyants de mon modem: RAS.
Puis je vois que mon Bitdefender (tout neuf, version 2009 renouvelée la semaine dernière) n'est pas activé dans la barre des tâches. J'essaie de le lancer: "n'est pas une application win32 valide".

J'essaie d'installer AdAware, ça plante à l'installation,.
Spybot se laisse décompresser mais ne se lance pas.
Hijackthis ne trouve rien (Windows lancé normalement).
J'ai lancé une recherche de fichier "winupgro.exe", sans succès.
Et quand j'essaie de passer en "mode sans échec", le PC plante: un écran bleu apparaît furtivement, puis le PC reboote. J'ai essayé 3 fois sans succés.
C'est la première fois que je rencontre une "sale bête" qui est assez coriace pour non seulement bloquer les antivirus et autres, mais aussi pour bloquer la connexion Internet et empêcher le redémarrage sans échec!!!

Je me suis connecté en utilisant mon vieux DD et le Windows qui est installé dessus (+ autres softs) et en débranchant mon 500GO, et je peux encore basculer de l'un à l'autre.
SVP si vous avez une solution, une idée de soft qui diagnostique ou répare mon problème... Sinon, un jour 1/2 de boulot pour sauvegarder et réinstaller tout ce que j'avais fait (entre autres, des jeux pour mes gamins, très pénibles à installer, comme Alexandra Ledermann qui plante 9 fois sur 10 à l'install.).

Merci d'avance!
Cordialement, Mich.

pimprenelle27 · Answer

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

pimprenelle27 · Answer

si tu peux faire ceci et me poster le rapport. Merci  :

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

bidoumichou · Answer

Ben voilou le résultat (à la question "vous vous faites aider sur un forum?", j'ai répondu oui).
Je vois que le rapport commence par l'utilisation de Ccleaner, or moi j'peux pas...
J'attends tes conseils. Merci.

Rapport GenProc 2.338 [1] - 20/01/2009 - Windows XP 
 
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 


# Etape 1/ Télécharge :
 
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ 

 Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage 

# Etape 3/ 

 Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !" 
- Ensuite poste le rapport C:\FindyKill.txt

pimprenelle27 · Answer

tu as posté tout le rapport? si oui tu peux commencer à faire ce qui est dit, et me poster les rapport.

bidoumichou · Answer

1er rapport (après analyse)

###################### [ FindyKill V4.714 ]

# User : Michel - PC
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 10:50:00 le 20/01/2009
# Windows XP - Internet Explorer 6.0.2900.5512
 
# [ FindyKill V4.714 - Scan ] ############## 
 
\\\\\\\\\\  [ Processus actifs ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\Norton Password Manager\AcctMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Documents and Settings\Michel\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Michel\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
 
\\\\\\\\\  [ Processus infectieux stoppés ]  ///////////////////  
 

"C:\Documents and Settings\Michel\Application Data\drivers\winupgro.exe"  (388)
"C:\Documents and Settings\Michel\Application Data\m\flec006.exe"  (3524)
"C:\WINDOWS\system32\wintems.exe"  (2348)

 
\\\\\\\\\  [ Fichiers/Dossiers infectieux ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
Found ! - C:\WINDOWS\prefetch\102437.EXE-15C60F5A.pf 
Found ! - C:\WINDOWS\prefetch\185468.EXE-2A9EE261.pf 
Found ! - C:\WINDOWS\prefetch\207062.EXE-2197CF82.pf 
Found ! - C:\WINDOWS\prefetch\217875.EXE-23776413.pf 
Found ! - C:\WINDOWS\prefetch\237218.EXE-33585899.pf 
Found ! - C:\WINDOWS\prefetch\249000.EXE-0CFB70E9.pf 
Found ! - C:\WINDOWS\prefetch\54406.EXE-21537E6D.pf 
Found ! - C:\WINDOWS\prefetch\87875.EXE-08393843.pf 
Found ! - C:\WINDOWS\prefetch\88484.EXE-28E5E788.pf 
Found ! - C:\WINDOWS\prefetch\98296.EXE-007BBA7E.pf 
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-2B3BAB1E.pf 
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf 
 
################## [ C:\WINDOWS\system32 ] 
 
Found ! [20/01/2009 09:39] - C:\WINDOWS\system32\mdelk.exe 
Found ! [20/01/2009 09:39] - C:\WINDOWS\system32\wintems.exe 
Found ! [20/01/2009 10:40] - C:\WINDOWS\system32\ban_list.txt 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Michel\Application Data ] 
 
Found ! [20/01/2009 09:38] - "C:\Documents and Settings\Michel\Application Data\m\flec006.exe" 
Found ! [20/01/2009 09:39] - "C:\Documents and Settings\Michel\Application Data\m\list.oct" 
Found ! [20/01/2009 09:39] - "C:\Documents and Settings\Michel\Application Data\m\data.oct" 
Found ! [20/01/2009 09:39] - "C:\Documents and Settings\Michel\Application Data\m\srvlist.oct" 
Found ! [20/01/2009 09:39] - "C:\Documents and Settings\Michel\Application Data\m\shared" 
Found ! [20/01/2009 09:30] - "C:\Documents and Settings\Michel\Application Data\m" 
Found ! [19/01/2009 09:56] - "C:\Documents and Settings\Michel\Application Data\drivers" 
Found ! [20/01/2009 09:37] - "C:\Documents and Settings\Michel\Application Data\drivers\srosa2.sys" 
Found ! [20/01/2009 09:37] - "C:\Documents and Settings\Michel\Application Data\drivers\wfsintwq.sys" 
Found ! [16/09/2004 06:04] - "C:\Documents and Settings\Michel\Application Data\drivers\winupgro.exe" 
Found ! [20/01/2009 09:39] - "C:\Documents and Settings\Michel\Application Data\drivers\downld" 
 
################## [ C:\DOCUME~1\Michel\LOCALS~1\Temp ] 
 
Found ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip  
Found ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip\Crack  
Found ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip\Crack\Patch.exe  
Found ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip\Crackarreg.key  
 
\\\\\\\\\  [ Registre / Startup ]  ///////////////////  
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   AlcoholAutomount="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   SunJavaUpdateSched=C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
   Norton PasswordManager=C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID {D1AFB197-5F24-49f4-9571-2F28A9798936}
   JMB36X Configure=C:\WINDOWS\System32\JMRaidTool.exe boot
   DataLayer=C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
   BitDefender Antiphishing Helper="C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
   BDAgent="C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
   AcctMgr=C:\Program Files\Norton Password Manager\AcctMgr.exe /startup
   NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
   NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
   QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL=
   Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI=
   Installed=1
   NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS=
   Installed=1
 
[HKEY_CURRENT_USER\software\local appwizard-generated applications\axcmd]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\JMRaidTool]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\serial]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]
 
\\\\\\\\\  [ Registre / Clés infectieuses ] ///////////////////  
 
 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\Local AppWizard-Generated Applications\serial 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\Local AppWizard-Generated Applications\winupgro 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\bisoft 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\DateTime4 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\FFC 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\FirtR 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\MuleAppData 
Found ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\UBISOFT 
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial 
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_CURRENT_USER\Software\bisoft 
Found ! - HKEY_CURRENT_USER\Software\DateTime4 
Found ! - HKEY_CURRENT_USER\Software\FirtR 
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit   
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe   
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key   
 
/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
 
\\\\\\\\\  [ Etat / Services ]  ///////////////////  
 
# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot 
 
  /!\ Mode sans echec non fonctionnel !! 
 
# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal 
 
  /!\ Mode sans echec non fonctionnel !! 
 
# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network 
 
  /!\ Mode sans echec non fonctionnel !! 
 

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

/!\ Ndisuio - # Type de démarrage = 4 
 
EapHost - # Type de démarrage = 3 
 
/!\ Ip6Fw - # Type de démarrage = 4 
 
/!\ SharedAccess - # Type de démarrage = 4 
 
/!\ wuauserv - # Type de démarrage = 4 
 
/!\ wscsvc - # Type de démarrage = 4 
 
 
\\\\\\\\\  [ Recherche dans supports amovibles]  ///////////////////  
 
 
# Informations : 

C: - Lecteur fixe

H: - Lecteur fixe

 
# presence des fichiers :  

 
 
\\\\\\\\\  [ Registre / Mountpoint2 ]  ///////////////////  
 
 
-> Not found ! 
 
 
################## [ ! Fin du rapport # FindyKill V4.714 ! ]

pimprenelle27 · Answer

Etape trois maintenant par ce que là tu es bien infecté avec des choses pas très jolie.

bidoumichou · Answer

Voici le rapport après désinfection (mais 1 seul redémarrage automatique, pas 2 comme annoncé).

###################### [ FindyKill V4.714 ]

# User : Michel - PC
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 10:56:51 the 20/01/2009
# Windows XP - Internet Explorer 6.0.2900.5512
 
# [ FindyKill V4.714 - Deleting ] ############### 
 
\\\\\\\\\  [ Active Processes ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
 
\\\\\\\\\  [ Infected Files / Folders ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
Deleted ! - C:\WINDOWS\prefetch\102437.EXE-15C60F5A.pf 
Deleted ! - C:\WINDOWS\prefetch\185468.EXE-2A9EE261.pf 
Deleted ! - C:\WINDOWS\prefetch\207062.EXE-2197CF82.pf 
Deleted ! - C:\WINDOWS\prefetch\217875.EXE-23776413.pf 
Deleted ! - C:\WINDOWS\prefetch\237218.EXE-33585899.pf 
Deleted ! - C:\WINDOWS\prefetch\249000.EXE-0CFB70E9.pf 
Deleted ! - C:\WINDOWS\prefetch\54406.EXE-21537E6D.pf 
Deleted ! - C:\WINDOWS\prefetch\87875.EXE-08393843.pf 
Deleted ! - C:\WINDOWS\prefetch\88484.EXE-28E5E788.pf 
Deleted ! - C:\WINDOWS\prefetch\98296.EXE-007BBA7E.pf 
Deleted ! - C:\WINDOWS\prefetch\FLEC006.EXE-2B3BAB1E.pf 
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf 
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-238AA5EF.pf 
Deleted ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf 
 
################## [ C:\WINDOWS\system32 ] 
 
Deleted ! - C:\WINDOWS\system32\mdelk.exe  
Deleted ! - C:\WINDOWS\system32\wintems.exe  
Deleted ! - C:\WINDOWS\system32\ban_list.txt  
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Michel\Application Data ] 
 
Deleted ! - "C:\Documents and Settings\Michel\Application Data\m\flec006.exe"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\m\list.oct"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\m\data.oct"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\m\srvlist.oct"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\m\shared"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\m"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers\srosa2.sys"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers\wfsintwq.sys"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers\winupgro.exe"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers\downld"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers"  
 
################## [ C:\DOCUME~1\Michel\LOCALS~1\Temp ] 
 
Deleted ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip     
Deleted ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip\Crack     
Deleted ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip\Crack\Patch.exe     
Deleted ! - C:\DOCUME~1\Michel\LOCALS~1\Temp\R‚pertoire temporaire 1 pour WinRar.v3.61.FR.Incl-Crack.zip\Crackarreg.key     
 
################## [ C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5 ] 
 
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\4TC7NXA2\b64_1[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\EWOSLGWD\file[1].txt    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\IKLV9EEA\b64_1[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\ST63CXIR\b64[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\ST63CXIR\b64_3[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\ST63CXIR\b64_3[2].jpg    
 
\\\\\\\\\  [  Registry / Infected keys ]  ///////////////////  
 
Deleted ! - HKEY_CURRENT_USER\Software\bisoft   
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4   
Deleted ! - HKEY_CURRENT_USER\Software\FirtR   
Deleted ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\Local AppWizard-Generated Applications\serial   
Deleted ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\FFC   
Deleted ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\MuleAppData   
Deleted ! - HKEY_USERS\S-1-5-21-2052111302-789336058-725345543-1003\Software\UBISOFT   
 
\\\\\\\\\  [ States / Restarting of services ]  ///////////////////  
 
# Safe boot mode restored ! 

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio - # Type of startup  = 3 
 
EapHost - # Type of startup  = 2 
 
Ip6Fw - # Type of startup  = 2 
 
SharedAccess - # Type of startup  = 2 
 
wuauserv - # Type of startup  = 2 
 
wscsvc - # Type of startup  = 2 
 
 
\\\\\\\\\  [ Cleaning Removable drives ]  ///////////////////  
 
# Informations : 

C: - Lecteur fixe

H: - Lecteur fixe

 
# deleting files : 
 
 
\\\\\\\\\  [ Registry / Mountpoint2 ]  ///////////////////  
 
 
 -> Not found ! 
 
 
\\\\\\\\\  [ Searching Other Infections ]  ///////////////////  
 
Références de comparaison Bagle MD5 :

2144df1c C:\Documents and Settings\Michel\Application Data\drivers\winupgro.exe 
895c7dd60d43bc828d2355a956d9db27 C:\Documents and Settings\Michel\Application Data\drivers\winupgro.exe 

Suspect ! - 895c7dd60d43bc828d2355a956d9db27  C:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe  
 
\\\\\\\\\  [ Searching Cracks / Keygen ]  ///////////////////  
 
C:\Documents and Settings\Michel\Favoris\logiciels\KEYGEN.MS - Generates cracks serials keygens for the software to unlock it for free.url
 
################## [ ! End of report # FindyKill V4.714 ! ]

pimprenelle27 · Answer

Pourrais tu STP désinstaller ceci Suspect ! - 895c7dd60d43bc828d2355a956d9db27 C:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe 

ensuite me refaire un hijackthis.

bidoumichou · Answer

Voici le rapport Hijackthis.
J'ai désinstallé puis supprimé complètement l'application Alcohol, puisqu'un des fichiersi te semblait louche.
J'ai réinstallé ensuite mon antivirus Bitdefender, parce-que trop peur de récupérer une autre cochonnerie à force de surfer sans protection.
J'ai aussi testé la réinstallation et l'ouverture de CCleaner, avec succès.
Il semble donc que l'infection ait disparu, ou que ça soit en bonne voie.
Qu'en penses-tu? Et pour ma culture, sur quoi suis-je tombé? Entre les virus, Trojan, vers, malware, etc... difficile de s'y retrouver!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:53, on 20/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Norton Password Manager\AcctMgr.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
C:\Documents and Settings\Michel\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

pimprenelle27 · Answer

Telecharge malwarebytes

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


Tutoriaux

bidoumichou · Answer

Ca y est, oh mon grand gourou!
A priori, R.A.S.
Par contre, à mon retour, Bitdefender m'a signalé plein d'alertes, dont des fichiers supprimés (je ne sais pas lesquels) et d'autres en quarantaine: Win32.Bagle.suq@mm et MemScan:Trojan.PWS.LdPinch.TSE...


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1670
Windows 5.1.2600 Service Pack 3

20/01/2009 18:08:45
mbam-log-2009-01-20 (18-08-45).txt

Type de recherche: Examen complet (C:\|D:\|H:\|I:\|)
Eléments examinés: 122249
Temps écoulé: 32 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

si c'est ça refait finfikyll.

bidoumichou · Answer

Voici le 2ème rapport d'analyse, effectué à l'instant.
Au fait, un truc bizarre: je n'ai pas d'historique de mes connexions, alors que j'ai paramétré 30j dans IE6...
Je lance une procédure de suppression. A tout à l'heure pour le résultat!


###################### [ FindyKill V4.714 ]

# User : Michel - PC
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 18:29:38 le 20/01/2009
# Windows XP - Internet Explorer 6.0.2900.5512
 
# [ FindyKill V4.714 - Scan ] ############## 
 
\\\\\\\\\\  [ Processus actifs ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Norton Password Manager\AcctMgr.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
 
\\\\\\\\\  [ Fichiers/Dossiers infectieux ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Michel\Application Data ] 
 
Found ! [20/01/2009 11:07] - "C:\Documents and Settings\Michel\Application Data\drivers" 
Found ! [20/01/2009 11:07] - "C:\Documents and Settings\Michel\Application Data\drivers\downld" 
 
################## [ C:\DOCUME~1\Michel\LOCALS~1\Temp ] 
 
 
\\\\\\\\\  [ Registre / Startup ]  ///////////////////  
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   DAEMON Tools Lite=C:\Program Files\DAEMON Tools Lite\daemon.exe -autorun

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   SunJavaUpdateSched=C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
   JMB36X Configure=C:\WINDOWS\System32\JMRaidTool.exe boot
   DataLayer=C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
   BitDefender Antiphishing Helper="C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
   BDAgent="C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
   NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
   NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
   AcctMgr=C:\Program Files\Norton Password Manager\AcctMgr.exe /startup
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL=
   Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI=
   Installed=1
   NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS=
   Installed=1
 
[HKEY_CURRENT_USER\software\local appwizard-generated applications\axcmd]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\JMRaidTool]
 
\\\\\\\\\  [ Registre / Clés infectieuses ] ///////////////////  
 
 
 
 
\\\\\\\\\  [ Etat / Services ]  ///////////////////  
 

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

Ndisuio - # Type de démarrage = 3 
 
EapHost - # Type de démarrage = 2 
 
Ip6Fw - # Type de démarrage = 2 
 
SharedAccess - # Type de démarrage = 2 
 
wuauserv - # Type de démarrage = 2 
 
/!\ wscsvc - # Type de démarrage = 4 
 
 
\\\\\\\\\  [ Recherche dans supports amovibles]  ///////////////////  
 
 
# Informations : 

C: - Lecteur fixe

D: - Lecteur de CD-ROM

H: - Lecteur fixe

 
# Contenu de l'autorun : D:\autorun.inf  

[autorun]
open=AutoRunCD.exe
icon=AutoRunCD.exe, 0



 
# presence des fichiers :  

Found ! [19/07/2007 15:53][-r-------] - D:\autorun.inf 
 
 
\\\\\\\\\  [ Registre / Mountpoint2 ]  ///////////////////  
 
 
-> Not found ! 
 
 
################## [ ! Fin du rapport # FindyKill V4.714 ! ]

bidoumichou · Answer

Et voila le rapport après désinfection:
qu'en penses-tu?
 
\\\\\\\\\  [ Infected Files / Folders ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Michel\Application Data ] 
 
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers\downld"  
Deleted ! - "C:\Documents and Settings\Michel\Application Data\drivers"  
 
################## [ C:\DOCUME~1\Michel\LOCALS~1\Temp ] 
 
 
################## [ C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5 ] 
 
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\4TC7NXA2\b64_1[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\EWOSLGWD\file[1].txt    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\IKLV9EEA\b64_1[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\ST63CXIR\b64[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\ST63CXIR\b64_3[1].jpg    
Deleted ! - C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\ST63CXIR\b64_3[2].jpg    
 
\\\\\\\\\  [  Registry / Infected keys ]  ///////////////////  
 
 
\\\\\\\\\  [ States / Restarting of services ]  ///////////////////  
 

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio - # Type of startup  = 3 
 
EapHost - # Type of startup  = 2 
 
Ip6Fw - # Type of startup  = 2 
 
SharedAccess - # Type of startup  = 2 
 
wuauserv - # Type of startup  = 2 
 
wscsvc - # Type of startup  = 2 
 
 
\\\\\\\\\  [ Cleaning Removable drives ]  ///////////////////  
 
# Informations : 

C: - Lecteur fixe

H: - Lecteur fixe

 
# deleting files : 
 
 
\\\\\\\\\  [ Registry / Mountpoint2 ]  ///////////////////  
 
 
 -> Not found ! 
 
 
\\\\\\\\\  [ Searching Other Infections ]  ///////////////////  
 
 
\\\\\\\\\  [ Searching Cracks / Keygen ]  ///////////////////  
 
C:\Documents and Settings\Michel\Favoris\logiciels\KEYGEN.MS - Generates cracks serials keygens for the software to unlock it for free.url
 
################## [ ! End of report # FindyKill V4.714 ! ]

pimprenelle27 · Answer

un nouvel hijackthis. Merci.

bidoumichou · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:19, on 20/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Michel\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton Password Manager\AcctMgr.exe /startup
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe -autorun
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

pimprenelle27 · Answer

Le rapport est clean.

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
https://www.malekal.com/tutoriel-ccleaner/
---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

***très important***

Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok

sous vista
https://www.01net.com/actualites/
http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista


Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci dessous

https://www.vulgarisation-informatique.com/creer-point-restauration.php


si tu n as pas d autres soucis change le statut du sujet en resolu stp

pimprenelle27 · Answer

Fais un scan en ligne avec Internet explorer (merci !aur3n7=
* Rend toi sur ce site https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Clique sur l'image de droite Kaspersky Online scanner

-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.

-- L'installation et la mise à jour de la base antivirale se feront automatiquement.

* Clique sur Suivant

* Clique sur le bouton paramètres d'analyse

-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK

* choisis Poste de travail pour lancer le scan

* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous

-- Pour le retrouver facilement met le sur le bureau

-- dans nom de fichier entre Kaspersky

-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer

* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

pimprenelle27 · Answer

et le dernier à faire pour supprimer ce que je t'ai fait utiliser.

Fais un scan en ligne avec Internet explorer (merci !aur3n7=
* Rend toi sur ce site https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Clique sur l'image de droite Kaspersky Online scanner

-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.

-- L'installation et la mise à jour de la base antivirale se feront automatiquement.

* Clique sur Suivant

* Clique sur le bouton paramètres d'analyse

-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK

* choisis Poste de travail pour lancer le scan

* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous

-- Pour le retrouver facilement met le sur le bureau

-- dans nom de fichier entre Kaspersky

-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer

* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

bidoumichou · Answer

L'analyse kapersky vient tout juste de se terminer.
Mon antivirus, stoppé pendant 1h, s'est remis en route avant la fin de cette analys... heureusement, car un virus a été bloqué! Comme quoi, le conseil de le désactiver est plus ou moins bon.
Sinon, d'après le rapport, ça a l'air sain.
Tu penses qu'il y a autre chse à essayer ou à vérifier?
Merci ;-)

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Tuesday, January 20, 2009 9:41:09 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky : 20/01/2009
 Enregistrements dans la base antivirus Kaspersky : 1654946
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: étendue
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	H:\
	I:\

Statistiques de l'analyse:
	Total d'objets analysés: 62278
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:12:15

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Application Data\BitDefender\Desktop\Profiles\asdict.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\MSHist012009012020090121\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Michel
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\av32bit_10099\Plugins\cache.000	L'objet est verrouillé	ignoré
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsys.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{3083092A-41D2-4D21-A889-FD53E10184A1}\RP2\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\drivers\sptd.sys	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_740.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp	mp00006243	mp00000000	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
H:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
H:\System Volume Information\_restore{3083092A-41D2-4D21-A889-FD53E10184A1}\RP2\change.log	L'objet est verrouillé	ignoré

Analyse terminée.

pimprenelle27 · Answer

tu as fait cceaner c'est bien, as tu fait toolscleaner?

pimprenelle27 · Answer

non c'est ok pour moi y a plus rien.

pimprenelle27 · Answer

tu avais quand même winupgro.exe

Lyonnais92 · Answer

Bonjour,

tu as été infectée par le ver Bagle

https://www.commentcamarche.net/contents/1236-ver-informatique

http://www.commentcamarche.net/faq/sujet 9889 comment supprimer le virus beagle bagle

Oscour! Winupgro ou équivalent, très méchant

24 réponses

Discussions similaires