Problème de virus
Fermé
Louis75
-
23 janv. 2009 à 18:11
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 - 24 janv. 2009 à 11:54
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 - 24 janv. 2009 à 11:54
A voir également:
- Problème de virus
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Softonic virus ✓ - Forum Virus
- Mcafee alerte de virus critique - Accueil - Piratage
3 réponses
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 230
23 janv. 2009 à 18:12
23 janv. 2009 à 18:12
Bonjour
Télécharge FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistre-le sur ton bureau et pas ailleurs !
!! Déconnecte toi et ferme toutes les applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Tuto : https://www.malekal.com/tutorial-findykill/
--> Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ). Puis laisse travailler l'outil sans rien toucher ...
Une fois terminé, poste le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus--
Télécharge FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistre-le sur ton bureau et pas ailleurs !
!! Déconnecte toi et ferme toutes les applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Tuto : https://www.malekal.com/tutorial-findykill/
--> Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ). Puis laisse travailler l'outil sans rien toucher ...
Une fois terminé, poste le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus--
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 230
23 janv. 2009 à 18:24
23 janv. 2009 à 18:24
Important :
Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...
Ferme toutes les applications en cours !
Relance FindyKill :
-> choisis cette fois-ci l'option 2 (suppression).
/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> Poste le nouveau rapport FindyKill.txt qui est généré.
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...
Ferme toutes les applications en cours !
Relance FindyKill :
-> choisis cette fois-ci l'option 2 (suppression).
/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> Poste le nouveau rapport FindyKill.txt qui est généré.
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
################## [ C:\WINDOWS\system32 ]
Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt
################## [ C:\WINDOWS\system32\drivers ]
################## [ C:\Documents and Settings\utilisateur\Application Data ]
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers"
################## [ C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp ]
Deleted ! - C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\IncrediMail\IMInstall\Contents\Sound\tchaikovsky_the_nutcracker.imw
################## [ C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5 ]
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\021CB2TQ\b64[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\021CB2TQ\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\021CB2TQ\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\7QZRXOUH\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\BZVLXR4P\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\EMUJQXTC\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\EMUJQXTC\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\IEDWGW3N\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\LXUFL1KU\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\LXUFL1KU\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\file[1].txt
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\MuleAppData
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Safe boot mode restored !
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
EapHost - # Type of startup = 2
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
# deleting files :
Not deleted !! - D:\autorun.inf
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ffa37cba-8a39-11dd-a4bc-001a4d7d13fe}\Shell\AutoRun\command
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
6ad55374 C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe
eef5128e4f5bb18a548fd739c6ac40da C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe
Suspect ! - eef5128e4f5bb18a548fd739c6ac40da C:\Documents and Settings\utilisateur\Bureau\setup.exe
Suspect ! - eef5128e4f5bb18a548fd739c6ac40da C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
################## [ ! End of report # FindyKill V4.714 ! ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
################## [ C:\WINDOWS\system32 ]
Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt
################## [ C:\WINDOWS\system32\drivers ]
################## [ C:\Documents and Settings\utilisateur\Application Data ]
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\m"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\utilisateur\Application Data\drivers"
################## [ C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp ]
Deleted ! - C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\IncrediMail\IMInstall\Contents\Sound\tchaikovsky_the_nutcracker.imw
################## [ C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5 ]
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\021CB2TQ\b64[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\021CB2TQ\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\021CB2TQ\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\7QZRXOUH\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\BZVLXR4P\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\EMUJQXTC\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\EMUJQXTC\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\IEDWGW3N\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\LXUFL1KU\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\LXUFL1KU\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\QLIP03V1\file[1].txt
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\MuleAppData
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Safe boot mode restored !
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
EapHost - # Type of startup = 2
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
# deleting files :
Not deleted !! - D:\autorun.inf
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ffa37cba-8a39-11dd-a4bc-001a4d7d13fe}\Shell\AutoRun\command
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
6ad55374 C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe
eef5128e4f5bb18a548fd739c6ac40da C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe
Suspect ! - eef5128e4f5bb18a548fd739c6ac40da C:\Documents and Settings\utilisateur\Bureau\setup.exe
Suspect ! - eef5128e4f5bb18a548fd739c6ac40da C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
################## [ ! End of report # FindyKill V4.714 ! ]
toptitbal
Messages postés
25709
Date d'inscription
samedi 8 juillet 2006
Statut
Contributeur sécurité
Dernière intervention
4 mars 2010
2 230
24 janv. 2009 à 11:54
24 janv. 2009 à 11:54
Comment se comporte le PC depuis l'élimination de bagle ?
23 janv. 2009 à 18:18
# User : utilisateur - CANTET
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 18:15:38 le 23/01/2009
# Windows XP - Internet Explorer 7.0.5730.11
# [ FindyKill V4.714 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Razer\Reclusa\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Razer\Reclusa\razertra.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\utilisateur\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
\\\\\\\\\\\\\\\\\\ [ Processus infectieux stoppés ] ///////////////////
"C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe" (676)
"C:\Documents and Settings\utilisateur\Application Data\m\flec006.exe" (4024)
"C:\WINDOWS\system32\wintems.exe" (1180)
\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////
################## [ C:\ ]
################## [ C:\WINDOWS ]
################## [ C:\WINDOWS\Prefetch ]
################## [ C:\WINDOWS\system32 ]
Found ! [23/01/2009 17:20] - C:\WINDOWS\system32\mdelk.exe
Found ! [23/01/2009 17:20] - C:\WINDOWS\system32\wintems.exe
Found ! [23/01/2009 17:44] - C:\WINDOWS\system32\ban_list.txt
################## [ C:\WINDOWS\system32\drivers ]
################## [ C:\Documents and Settings\utilisateur\Application Data ]
Found ! [23/01/2009 17:17] - "C:\Documents and Settings\utilisateur\Application Data\m\flec006.exe"
Found ! [23/01/2009 17:18] - "C:\Documents and Settings\utilisateur\Application Data\m\list.oct"
Found ! [23/01/2009 17:18] - "C:\Documents and Settings\utilisateur\Application Data\m\data.oct"
Found ! [23/01/2009 17:18] - "C:\Documents and Settings\utilisateur\Application Data\m\srvlist.oct"
Found ! [23/01/2009 17:19] - "C:\Documents and Settings\utilisateur\Application Data\m\shared"
Found ! [23/01/2009 01:15] - "C:\Documents and Settings\utilisateur\Application Data\m"
Found ! [23/01/2009 01:09] - "C:\Documents and Settings\utilisateur\Application Data\drivers"
Found ! [23/01/2009 17:15] - "C:\Documents and Settings\utilisateur\Application Data\drivers\srosa2.sys"
Found ! [23/01/2009 17:15] - "C:\Documents and Settings\utilisateur\Application Data\drivers\wfsintwq.sys"
Found ! [05/03/2005 06:09] - "C:\Documents and Settings\utilisateur\Application Data\drivers\winupgro.exe"
Found ! [23/01/2009 17:21] - "C:\Documents and Settings\utilisateur\Application Data\drivers\downld"
################## [ C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp ]
Found ! - C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\IncrediMail\IMInstall\Contents\Sound\tchaikovsky_the_nutcracker.imw
\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
NVIDIA nTune="C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
LDM=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
Skype="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
pyalfwr=c:\documents and settings\utilisateur\local settings\application data\pyalfwr.exe pyalfwr
WINSOS VERIFY="C:\Program Files\WINSOS\WINSOS.EXE" MINI
Steam="C:\Program Files\Steam\Steam.exe" -silent
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
Alcmtr=ALCMTR.EXE
RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
LanguageShortcut="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
Logitech Hardware Abstraction Layer=KHALMNPR.EXE
Reclusa=C:\Program Files\Razer\Reclusa\razerhid.exe
CrocPopup+ =C:\PROGRA~1\CROCPO~1\CROCPO~1.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\HViewer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\nTuneCmd]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\setup]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]
\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////
Found ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-746137067-2025429265-725345543-1004\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key
/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////
# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
/!\ Mode sans echec non fonctionnel !!
# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
/!\ Mode sans echec non fonctionnel !!
# Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
/!\ Mode sans echec non fonctionnel !!
# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
/!\ Ndisuio - # Type de démarrage = 4
EapHost - # Type de démarrage = 3
/!\ Ip6Fw - # Type de démarrage = 4
/!\ SharedAccess - # Type de démarrage = 4
/!\ wuauserv - # Type de démarrage = 4
/!\ wscsvc - # Type de démarrage = 4
\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
# Contenu de l'autorun : D:\autorun.inf
[AutoRun]
ICON=joystick.ico
open=joystickWOW.exe
# presence des fichiers :
Found ! [27/06/2007 14:02][-r-------] - D:\autorun.inf
\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ffa37cba-8a39-11dd-a4bc-001a4d7d13fe}\Shell\AutoRun\command
################## [ ! Fin du rapport # FindyKill V4.714 ! ]
23 janv. 2009 à 18:21