Virus suscpecté mais lequel?
Fermé
Ju de fruit
-
20 janv. 2009 à 14:19
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 - 20 janv. 2009 à 16:26
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 - 20 janv. 2009 à 16:26
A voir également:
- Virus suscpecté mais lequel?
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Virus mcafee - Accueil - Piratage
- Tinyurl.com virus - Forum Virus
6 réponses
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 231
20 janv. 2009 à 14:22
20 janv. 2009 à 14:22
Bonjour
Télécharge FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistre-le sur ton bureau et pas ailleurs !
!! Déconnecte toi et ferme toutes les applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Tuto : https://www.malekal.com/tutorial-findykill/
--> Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...
Une fois terminé, poste le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistre-le sur ton bureau et pas ailleurs !
!! Déconnecte toi et ferme toutes les applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Tuto : https://www.malekal.com/tutorial-findykill/
--> Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...
Une fois terminé, poste le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
tsumens
Messages postés
3051
Date d'inscription
samedi 27 octobre 2007
Statut
Membre
Dernière intervention
28 mai 2009
384
20 janv. 2009 à 14:24
20 janv. 2009 à 14:24
Bonjour tu charges le log "hijackthis",il va analyser ton PC et tu postes le rapport ici.
tsumens
Messages postés
3051
Date d'inscription
samedi 27 octobre 2007
Statut
Membre
Dernière intervention
28 mai 2009
384
20 janv. 2009 à 14:42
20 janv. 2009 à 14:42
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\wintems.exe" (3404)
la cause de tes malheurs !
Fais une recherche sur le net(Google)afin de trouver la solution pour les éliminer.
C:\WINDOWS\system32\wintems.exe" (3404)
la cause de tes malheurs !
Fais une recherche sur le net(Google)afin de trouver la solution pour les éliminer.
Merci pour ton aide,
mais je n'arrive pas a trouver une solution pour l'éliminer, pas mal de personne ont attrapé ce virus en 2007 et la solution était Blacklight (de F-Secure) qui n'existe plus, ou est non disponible.
Avec kill Box, le fichier wintems ou hldr dans system32 n'apparait pas.
Que faire?
mais je n'arrive pas a trouver une solution pour l'éliminer, pas mal de personne ont attrapé ce virus en 2007 et la solution était Blacklight (de F-Secure) qui n'existe plus, ou est non disponible.
Avec kill Box, le fichier wintems ou hldr dans system32 n'apparait pas.
Que faire?
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 231
20 janv. 2009 à 15:40
20 janv. 2009 à 15:40
Important :
Branche toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...
Ferme toutes les applications en cours !
Relance FindyKill :
-> choisis cette fois-ci l'option 2 (suppression).
/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> Poste le nouveau rapport FindyKill.txt qui est généré.
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
Branche toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...
Ferme toutes les applications en cours !
Relance FindyKill :
-> choisis cette fois-ci l'option 2 (suppression).
/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> Poste le nouveau rapport FindyKill.txt qui est généré.
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
Voici le rapport en ayant fais l'option 2
Merci pour ton aide
###################### [ FindyKill V4.714 ]
# User : Julien - FAMILLE-LAURENT
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 15:52:29 the 20/01/2009
# Windows XP - Internet Explorer 7.0.5730.13
# [ FindyKill V4.714 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
Deleted ! - C:\WINDOWS\prefetch\105937.EXE-189B38A7.pf
Deleted ! - C:\WINDOWS\prefetch\154953.EXE-13C303DF.pf
Deleted ! - C:\WINDOWS\prefetch\262406.EXE-07995432.pf
Deleted ! - C:\WINDOWS\prefetch\296531.EXE-08915872.pf
Deleted ! - C:\WINDOWS\prefetch\315406.EXE-1AD3E5D0.pf
Deleted ! - C:\WINDOWS\prefetch\379031.EXE-24C75F8B.pf
Deleted ! - C:\WINDOWS\prefetch\489218.EXE-234A5702.pf
Deleted ! - C:\WINDOWS\prefetch\620234.EXE-085B56B3.pf
Deleted ! - C:\WINDOWS\prefetch\632234.EXE-0CA1D753.pf
Deleted ! - C:\WINDOWS\prefetch\FLEC006.EXE-33236028.pf
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-086F0B56.pf
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
Deleted ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf
Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-348B3BAD.pf
################## [ C:\WINDOWS\system32 ]
Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt
################## [ C:\WINDOWS\system32\drivers ]
################## [ C:\Documents and Settings\Julien\Application Data ]
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers"
################## [ C:\DOCUME~1\Julien\LOCALS~1\Temp ]
################## [ C:\Documents and Settings\Julien\Local Settings\Temporary Internet Files\Content.IE5 ]
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\MuleAppData
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Safe boot mode restored !
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur fixe
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
2a47bdb6 C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
1e8dcee42629aacc87cb0e61ec03b88d C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
################## [ ! End of report # FindyKill V4.714 ! ]
Merci pour ton aide
###################### [ FindyKill V4.714 ]
# User : Julien - FAMILLE-LAURENT
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 15:52:29 the 20/01/2009
# Windows XP - Internet Explorer 7.0.5730.13
# [ FindyKill V4.714 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
Deleted ! - C:\WINDOWS\prefetch\105937.EXE-189B38A7.pf
Deleted ! - C:\WINDOWS\prefetch\154953.EXE-13C303DF.pf
Deleted ! - C:\WINDOWS\prefetch\262406.EXE-07995432.pf
Deleted ! - C:\WINDOWS\prefetch\296531.EXE-08915872.pf
Deleted ! - C:\WINDOWS\prefetch\315406.EXE-1AD3E5D0.pf
Deleted ! - C:\WINDOWS\prefetch\379031.EXE-24C75F8B.pf
Deleted ! - C:\WINDOWS\prefetch\489218.EXE-234A5702.pf
Deleted ! - C:\WINDOWS\prefetch\620234.EXE-085B56B3.pf
Deleted ! - C:\WINDOWS\prefetch\632234.EXE-0CA1D753.pf
Deleted ! - C:\WINDOWS\prefetch\FLEC006.EXE-33236028.pf
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-086F0B56.pf
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
Deleted ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf
Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-348B3BAD.pf
################## [ C:\WINDOWS\system32 ]
Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt
################## [ C:\WINDOWS\system32\drivers ]
################## [ C:\Documents and Settings\Julien\Application Data ]
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\m"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers"
################## [ C:\DOCUME~1\Julien\LOCALS~1\Temp ]
################## [ C:\Documents and Settings\Julien\Local Settings\Temporary Internet Files\Content.IE5 ]
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\MuleAppData
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Safe boot mode restored !
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur fixe
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
2a47bdb6 C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
1e8dcee42629aacc87cb0e61ec03b88d C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
################## [ ! End of report # FindyKill V4.714 ! ]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 231
20 janv. 2009 à 16:08
20 janv. 2009 à 16:08
OK
Comment se comporte ton PC maintenant ?
Comment se comporte ton PC maintenant ?
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 231
20 janv. 2009 à 16:26
20 janv. 2009 à 16:26
N'oublie pas que Bagle est amené par les cracks, je te laisse en tirer les conclusions.... ;-))
20 janv. 2009 à 14:31
ps: complément d'information le mode sans échec ne fonctionne pas non plus
###################### [ FindyKill V4.714 ]
# User : Julien - FAMILLE-LAURENT
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 14:27:44 le 20/01/2009
# Windows XP - Internet Explorer 7.0.5730.13
# [ FindyKill V4.714 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Julien\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
\\\\\\\\\\\\\\\\\\ [ Processus infectieux stoppés ] ///////////////////
"C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe" (344)
"C:\Documents and Settings\Julien\Application Data\m\flec006.exe" (2904)
"C:\WINDOWS\system32\wintems.exe" (3404)
\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
Found ! - C:\WINDOWS\prefetch\105937.EXE-189B38A7.pf
Found ! - C:\WINDOWS\prefetch\154953.EXE-13C303DF.pf
Found ! - C:\WINDOWS\prefetch\262406.EXE-07995432.pf
Found ! - C:\WINDOWS\prefetch\296531.EXE-08915872.pf
20 janv. 2009 à 14:45
C cleaner refonctionne, cependant en faisant la recherche d'erreur du registre, 1378 dll partagées sont manquantes:
DLL partagées manquantes HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
ce que je redouté...