Sujet Précédent Sujet Suivant

Infecté par About brontok.a , win32 et autres

olaisse Messages postés 123 Statut Membre -  
olaisse Messages postés 123 Statut Membre -
Bonjour, j'ai depuis quelques mois un ordinateur infecté de virus, comme je suis nul en informatique je n'est jamais vraiment esseyer de le nettoyer , aujourd'hui j'ai decidé de m'y mettre mais je n'y arrive pas du tout.

J'ai un virus qui s'appele about brontok.A il crée un document firefox dans mes images , mais j'ai aussi tous plein d'autres problèmes, exemple : Au démarage mon ordinateur se redemarre tous seul avec un message d'erreur en rapport avec Temp2 , heuresement en cliquant rapidement sur "envoyer le rapport d'erreur" l'ordi ne se redemarre pas. J'ai aussi dans mes documents , mes images , ainsi que dans ma musique un 2ème dossier du meme nom qui est visible ( exemple : dans ma musique j'ai un dossier qui se crée et qui s'appele ma musique ) et si je clique dessus il me renvoie a mes document. Mon ordinateur se redemarre aussi tous seul lorsque je veux télécharger un logiciel c'est pourquoi j'ai besoin de votre aide pour me dire quelle logiciels prendre , je les mettrais sur une clé usb saine avant de les mettres sur le pc infecté. J'ai fait une analyse avec kaspersky en ligne qui me dit que j'ai 9 virus , trojan ...ect il y a écrit Win32 partout ( worms win32 , trojan win32 , email worms ..ect ).

J'ai réusit a télécharger hijackthis sur mon pc infecter j'ai analyser si quelqu'un est prêt a m'aider je posterais le log.

Si quelqu'un est prêt a m'aider faite moi signe SVP.
Configuration: Windows Vista
Internet Explorer 7.0

131 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
Résumé de la discussion

Un ordinateur est infecté par des virus, notamment Brontok.A, qui crée des documents dans les images et provoque des redémarrages au démarrage liés à une erreur Temp2.
Plusieurs conseils convergent vers l'utilisation de l'outil ComboFix: supprimer le fichier sur le Bureau, télécharger l'outil depuis une page de référence puis l'exécuter avec les protections désactivées, afin d'obtenir le fichier C:\ComboFix.txt.
D'autres réponses recommandent ensuite de lancer un nettoyage et de partager les rapports pour obtenir un avis spécialisé, puis de réactiver un antivirus fiable après le nettoyage.
Une évaluation des périphériques et de leur gestion des données externes peut être utile pour éviter de réintroduire les infections après le nettoyage, notamment en vérifiant les clés USB et les disques externes.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 1 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
pas jolie rapport effectivement tu va me faire ceci.

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur le Bureau.

Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage

Si besoin: Tutoriel
1
Réponse 2 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
tu peux poster le rapport hijackthis. Merci.
0
Réponse 3 / 131
olaisse Messages postés 123 Statut Membre
 
oui voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:34, on 28/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\QuickTime\qttask.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\dwwin.exe
D:\Documents and Settings\PAKITO\Local Settings\Application Data\winlogon.exe
D:\Documents and Settings\PAKITO\Local Settings\Application Data\services.exe
D:\Documents and Settings\PAKITO\Local Settings\Application Data\lsass.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HiJackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tf1.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: mscorews - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\mscorews.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "c:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Program Files\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BearShare] "D:\logiciel de téléchargement\bear share\BearShare.exe" /pause
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [WeatherCast] "C:\Program Files\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [Tok-Cirrhatus] "D:\Documents and Settings\PAKITO\Local Settings\Application Data\smss.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
0
Réponse 4 / 131
olaisse Messages postés 123 Statut Membre
 
J'ai eu de la chance j'ai réusis a le télécharger pile avant que l'ordi plante , je vais faire le reste , mais par contre j'ai pas compris de quoi tu parles la : Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
ne fait pas attention à ce message.
0
Réponse 6 / 131
olaisse Messages postés 123 Statut Membre
 
Je fait l'analyse la , et il y a un message de windows qui dit pas de disque , dedans il y a écrit " Exception processing message c0000013 parameters 75afbf9c 4 75afbf9c 75afbf9c , j'ai le choix entre annuler , recommencer et continuer ... ?
0
Réponse 7 / 131
olaisse Messages postés 123 Statut Membre
 
###################### [ FindyKill V4.714 ]

# User : PAKITO - SN115264580318
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 17:08:24 le 29/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180

# [ FindyKill V4.714 - Scan ] ##############

\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\apps\ABoard\ABoard.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\System32\svchost.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\dwwin.exe
D:\Documents and Settings\PAKITO\Local Settings\Application Data\winlogon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Documents and Settings\PAKITO\Local Settings\Application Data\services.exe
D:\Documents and Settings\PAKITO\Local Settings\Application Data\lsass.exe
C:\WINDOWS\system32\ping.exe
C:\WINDOWS\system32\ping.exe

\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////

################## [ C:\ ]

################## [ C:\WINDOWS ]

Found ! [09/05/2006 19:36] - C:\WINDOWS\autorun.inf

################## [ C:\WINDOWS\Prefetch ]

################## [ C:\WINDOWS\system32 ]

################## [ C:\WINDOWS\system32\drivers ]

################## [ D:\Documents and Settings\PAKITO\Application Data ]

################## [ D:\DOCUME~1\PAKITO\LOCALS~1\Temp ]

\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SmpcSys=C:\APPS\SMP\SmpSys.exe
WeatherCast="C:\Program Files\WeatherCast\Weather.exe" /q
Tok-Cirrhatus="D:\Documents and Settings\PAKITO\Local Settings\Application Data\smss.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ehTray=C:\WINDOWS\ehome\ehtray.exe
SoundMan=SOUNDMAN.EXE
ATICCC="c:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
Vade Retro Outlook Express="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
Ulead AutoDetector v2=C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
ACTIVBOARD=c:\apps\ABoard\ABoard.exe
D-Link AirPlus G=C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
ANIWZCS2Service=C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
IS CfgWiz=C:\Program Files\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
SSC_UserPrompt=C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
Bron-Spizaetus="C:\WINDOWS\ShellNew\bronstab.exe"
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
BearShare="D:\logiciel de téléchargement\bear share\BearShare.exe" /pause
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////

\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - # Type de démarrage = 3

Ip6Fw - # Type de démarrage = 3

SharedAccess - # Type de démarrage = 2

wuauserv - # Type de démarrage = 2

wscsvc - # Type de démarrage = 2

\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////

# Informations :

C: - Lecteur fixe

D: - Lecteur fixe

# Contenu de l'autorun : C:\autorun.inf

[autorun]
Shellexecute=copy.exe

# Contenu de l'autorun : D:\autorun.inf

[autorun]
Shellexecute=copy.exe

# presence des fichiers :

Found ! [09/05/2006 19:36][-rahs----] - C:\autorun.inf
Found ! [13/05/2006 03:40][-rahs----] - C:\copy.exe
Found ! [20/05/2006 17:19][-rahs----] - C:\host.exe
Found ! [09/02/2008 17:43][--a------] - C:\info.exe
Found ! [09/05/2006 19:36][-rahs----] - D:\autorun.inf
Found ! [13/05/2006 03:40][-rahs----] - D:\copy.exe
Found ! [20/05/2006 17:19][-rahs----] - D:\host.exe

\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////

-> Not found !

################## [ ! Fin du rapport # FindyKill V4.714 ! ]
0
Réponse 8 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
Etape 3/

Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt

0
Réponse 9 / 131
olaisse Messages postés 123 Statut Membre
 
Tu veux dir que ceux qui sont déjâ contaminer ? j'ai que mon portable et je suis meme pas sur qui soit infecté et une clé usb , je met que ces 2 la ?
0
Réponse 10 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
oui
0
Réponse 11 / 131
olaisse Messages postés 123 Statut Membre
 
ok , je commence
0
Réponse 12 / 131
olaisse Messages postés 123 Statut Membre
 
J'ai lancer l'étape 2 il me dit qu'il y aura 2 redemarage , mais il redemare tous de suite sans avoir netoyer et y'a une erreur , avant le redemarage sa marque Fin du programme - services.exe , ce programe ne répond pas alors je met terminer maintenant j'éspere que c'est bon

PS : Service.exe me fait toujours sa avant d'éteindre ou de redemarer mon ordi
0
Réponse 13 / 131
olaisse Messages postés 123 Statut Membre
 
Pendent le nettoyage y'a encore le message d'erreur qui dit " Windows - Pas de disque , je met continuer
0
Réponse 14 / 131
olaisse Messages postés 123 Statut Membre
 
Voila c'est fini , y'a eu que 1 redemarage , j'ai redemarer moi meme la 2eme fois par contre y'a toujour l'ordi qui se ralume a cause de temp2 , tien voila le rapport :

###################### [ FindyKill V4.714 ]

# User : PAKITO - SN115264580318
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 16:41:12 the 30/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180

# [ FindyKill V4.714 - Deleting ] ###############

\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\eHome\ehRec.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe

\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////

################## [ C:\ ]

################## [ C:\WINDOWS ]

Deleted ! - C:\WINDOWS\autorun.inf

################## [ C:\WINDOWS\Prefetch ]

Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-238AA5EF.pf

################## [ C:\WINDOWS\system32 ]

Deleted ! - C:\WINDOWS\system32\temp1.exe

################## [ C:\WINDOWS\system32\drivers ]

################## [ D:\Documents and Settings\PAKITO\Application Data ]

################## [ D:\DOCUME~1\PAKITO\LOCALS~1\Temp ]

################## [ D:\Documents and Settings\PAKITO\Local Settings\Temporary Internet Files\Content.IE5 ]

\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////

\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////

# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - # Type of startup = 3

Ip6Fw - # Type of startup = 2

SharedAccess - # Type of startup = 2

wuauserv - # Type of startup = 2

wscsvc - # Type of startup = 2

\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////

# Informations :

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur amovible

# deleting files :

Deleted ! - C:\autorun.inf
Deleted ! - C:\copy.exe
Deleted ! - C:\host.exe
Deleted ! - C:\info.exe
Deleted ! - D:\autorun.inf
Deleted ! - D:\copy.exe
Deleted ! - D:\host.exe
Deleted ! - F:\autorun.inf
Deleted ! - F:\copy.exe
Deleted ! - F:\host.exe

\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////

-> Not found !

\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////

\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

D:\Documents and Settings\PAKITO\Application Data\Microsoft\Office\Fichiers r‚cents\Comment Cracker Les Allo Pass (Sexe,Argent,Jeu,Divx,Mpg,Fraudes,Fille, M‚sanges,Fente,Euro,Baise,Amusement,Plaisanteries,Lyrique,Monde,R‚gime,Fenˆtres).lnk
D:\Documents and Settings\PAKITO\Bureau\Keygen
D:\Documents and Settings\PAKITO\Bureau\Keygen\FFF.NFO
D:\Documents and Settings\PAKITO\Bureau\Keygen\FILE_ID.DIZ
D:\Documents and Settings\PAKITO\Bureau\Keygen\Keygen.exe

################## [ ! End of report # FindyKill V4.714 ! ]
0
Réponse 15 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
Merci de bien vouloir me virer tout cela :

D:\Documents and Settings\PAKITO\Application Data\Microsoft\Office\Fichiers r‚cents\Comment Cracker Les Allo Pass (Sexe,Argent,Jeu,Divx,Mpg,Fraudes,Fille, M‚sanges,Fente,Euro,Baise,Amusement,Plaisanteries,Lyrique,Monde,R‚gime,Fenˆtres).lnk
D:\Documents and Settings\PAKITO\Bureau\Keygen
D:\Documents and Settings\PAKITO\Bureau\Keygen\FFF.NFO
D:\Documents and Settings\PAKITO\Bureau\Keygen\FILE_ID.DIZ
D:\Documents and Settings\PAKITO\Bureau\Keygen\Keygen.exe

Ensuite un nouvel hijackthis.
0
Réponse 16 / 131
olaisse Messages postés 123 Statut Membre
 
salut , voila j'ai virer
D:\Documents and Settings\PAKITO\Bureau\Keygen
D:\Documents and Settings\PAKITO\Bureau\Keygen\FFF.NFO
D:\Documents and Settings\PAKITO\Bureau\Keygen\FILE_ID.DIZ
D:\Documents and Settings\PAKITO\Bureau\Keygen\Keygen.exe

par la corbeille , j'espère que c'est bon , par contre

D:\Documents and Settings\PAKITO\Application Data\Microsoft\Office\Fichiers r‚cents\Comment Cracker Les Allo Pass (Sexe,Argent,Jeu,Divx,Mpg,Fraudes,Fille, M‚sanges,Fente,Euro,Baise,Amusement,Plaisanteries,Lyrique,Mo­nde,R‚gime,Fenˆtres).lnk

J'e le trouve pas , car quand je vais dans D:/Documents and Settings/PAKITO/ ... y'a pas Application Data , donc ou je peux trouver sa pour le supprimer ?
0
Réponse 17 / 131
olaisse Messages postés 123 Statut Membre
 
pimprenelle27 c moi ou alors sa beugue ?

ta envoyez ton mess a pimprenelle27, le samedi 31 janvier 2009 à 00:19:58 , alors que la il est que 18heures ??
0
Réponse 18 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
non ça beug pas je l'ai envoyé à 00h19.
0
Réponse 19 / 131
olaisse Messages postés 123 Statut Membre
 
Oui lol mais c'étais le 30 Janvier pas le 31 , vu que la on est le 31 et il est pas encore 00h19 lol , bref sinon je vais quoi pour le truc a supprimer que je trouve pas ?
0
Réponse 20 / 131
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
 
Je te signale quand même que même si on est le 30 janvier, si tu poste ton messages après minuit la date change et on est donc le 31 janvier. Tu comprends. comme là maintenant on était le 31, je poste mon message à minuit et on est le 1er c'est magique.
0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

Discussions similaires

Avis site about you
ANTON777 -
Cobb -

2 réponses
Site de contrefaçon ou non ?
AN1209 -
Sandrinelct -

9 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Une solution pour about:blank
baissaoui -
baissaoui -

0 réponse
Site About you
Scre -
fermiparadoxx -

1 réponse