Sujet Précédent Sujet Suivant

Infecté par bagle je crois HELP

Résolu/Fermé
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 - 15 févr. 2009 à 15:19
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 - 20 févr. 2009 à 18:20
Bonjour,
voila ,quand je lance avast , cleaner ou hijackthis j'ai un message qui me parle de win 32 et ils ne se lancent pas, d'après ce que j'ai lu sur google, je croi s etre infecté par virus BAGLe, j'ai donc télécharger elibagle et lancer un scan que je poste ci dessous :


Sun Feb 15 14:22:33 2009
EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.22
a "virus@satinfo.es". Gracias.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\105487.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\109575.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\111119.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\140588.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\214314.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\225827.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\225842.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\246918.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\251801.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\98499.EXE --> Eliminado Bagle.dldr
Reinicie para Completar la Limpieza.

Sun Feb 15 14:22:59 2009
EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sun Feb 15 14:49:02 2009
EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.22
a "virus@satinfo.es". Gracias.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Feb 15 15:05:59 2009
EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.22
a "virus@satinfo.es". Gracias.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

Sun Feb 15 15:06:08 2009
EliBagle v12.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 19169
Nº Total de Ficheros: 112301
Nº de Ficheros Analizados: 21427
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


quelqu'un peut il m'aider a me débarasser de cette saleté, ah oui j'ai désactivé les points de restauration sous vista. Merci pour votre aide ARAMIS74.

59 réponses

Réponse 1 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
16 févr. 2009 à 11:12
ensuite ceci :

Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs
1
Réponse 2 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 15:55
je ne le connais, mais je connais un autre logiciel qui peut les enlever que je connais mieux supprime celui ci et fait moi ceci :

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage


Si besoin: Tutoriel
0
Réponse 3 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 16:16
merci a toi voici le rapport findykill :


############################## [ FindyKill V4.716 ]

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 15:58:05 | 15/02/2009

#
#
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled



############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

################## [ Infected Files / Folders C:\ ]

Deleted ! - "C:\Muestras"
Deleted ! - C:\InfoSat.txt

################## [ C:\Windows ]


################## [ C:\Windows\Prefetch ]

Deleted ! - C:\Windows\prefetch\105487.EXE-176A3E0C.pf
Deleted ! - C:\Windows\prefetch\111119.EXE-71CBEBFD.pf
Deleted ! - C:\Windows\prefetch\130401.EXE-CCD81394.pf
Deleted ! - C:\Windows\prefetch\140588.EXE-D82C8F39.pf
Deleted ! - C:\Windows\prefetch\163270.EXE-87CEA546.pf
Deleted ! - C:\Windows\prefetch\188028.EXE-054BD2BE.pf
Deleted ! - C:\Windows\prefetch\225842.EXE-C5CB73BA.pf
Deleted ! - C:\Windows\prefetch\251801.EXE-4854853C.pf
Deleted ! - C:\Windows\prefetch\91478.EXE-2A4AE9B8.pf
Deleted ! - C:\Windows\prefetch\93522.EXE-E9558878.pf
Deleted ! - C:\Windows\prefetch\FLEC006.EXE-24FAE8E1.pf
Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-012AC33A.pf

################## [ C:\Windows\system32 ]

Not deleted !! - C:\Windows\system32\mdelk.exe
Not deleted !! - C:\Windows\system32\wintems.exe

################## [ C:\Windows\system32\drivers ]


################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ]

Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\flec006.exe"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\data.oct"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\shared"
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\srosa2.sys"
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\wfsintwq.sys"
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\downld"
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers"

################## [ Cleaning Temp Files... ]

Deleted ! - C:\Users\KARIMA et YAZID\Local Settings\Temporary Internet Files\Content.IE5\TJHATC7A\file[1].txt

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\MuleAppData

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio # Type of startup = 3

EapHost # Type of startup = 2

Wlansvc # Type of startup = 2

SharedAccess # Type of startup = 2

wuauserv # Type of startup = 2

wscsvc # Type of startup = 2

WinDefend # Type of startup = 2

# -> UAC is Enable

################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe


################## [ ! End of Report # FindyKill V4.716 ! ]
0
Réponse 4 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 16:21
tu peux en refaire un STP y en a qui n'ont pas été supprimé.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 16:26
reafur equoi l'etape 1 ou l'étape 2 de findykill. merci a toi.


ARAMIS74
0
Réponse 6 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 16:27
refais la 1ère d'abord. Merci
0
Réponse 7 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 16:29
salut un rapport hijackthis ca peut peut etre aider.

merci a tous pour votre aide


ARAMIS74
0
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 16:34
je te l'aurais demandé après le rapport je veux un autre rapport findykill car tout n'a pas été supprimée merci.
0
Réponse 8 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 16:30
salut , voici un rapport hijackthis ca peut peut etre aider :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:04, on 15/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Windows\vsnp2std.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\System32\mobsync.exe
C:\Users\KARIMA et YAZID\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VOGR3F43\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\KARIMA et YAZID\Desktop\ELIBAGLA.BC%D8BB%D8%D8I.EXE
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [L07FXLRD_436038] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [????r] (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [?????????] ??????????????e (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [L07FXLRD_436038] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m (User '?')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin\npjpi142_19.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin\npjpi142_19.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4-windows-i586.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
0
Réponse 9 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 16:37
des que lance findykill, une fentre noire s'ouvre je clique sur l'option 1 et plusieurs fois il est indiqué "Accés refusé" et je n'ai pas de rapport a la fin qui s'affiche;
0
Réponse 10 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 16:38
désinstalle le, puis réinstalle c'est très important que tout soit parti.
0
Réponse 11 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 16:44
j'ai désinstallé findykill puis reinstallé, exactement la meme chose toujours message " Accès refusé" et une fois j'ai cru voir "fichier introuvable"
0
Réponse 12 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 17:25
tu as bien désactivé le contrôle des comptes utilisateur?
0
Réponse 13 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 20:12
je vias le faire et te tiens au courant merci
0
Réponse 14 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 20:20
voici le nouveau rapport :


############################## [ FindyKill V4.716 ]

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 20:15:58 | 15/02/2009

#
#
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled



############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Windows\vsnp2std.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\conime.exe

################## [ Processus infectieux stoppés ]

"C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe" (2084)

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\Windows ]


################## [ C:\Windows\Prefetch ]


################## [ C:\Windows\system32 ]


################## [ C:\Windows\system32\drivers ]


################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ]

Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\list.oct"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\srvlist.oct"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\shared"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\srosa2.sys"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\wfsintwq.sys"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe"
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\downld"

################## [ C:\Users\KARIMA~1\AppData\Local\Temp ]


################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\msnmsgr
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\MuleAppData
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit

# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Etat / Services ]

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio # Type de démarrage = 4

EapHost # Type de démarrage = 2

Wlansvc # Type de démarrage = 2

SharedAccess # Type de démarrage = 4

wuauserv # Type de démarrage = 4

wscsvc # Type de démarrage = 4

WinDefend # Type de démarrage = 4

# -> UAC is Disable

################## [ Recherche dans supports amovibles]

# presence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.716 ! ]

merci a toi. ARAMIS74
0
Réponse 15 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 21:28
et ba dite donc tu est bien infecté :

Etape 3/

Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt

0
Réponse 16 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
15 févr. 2009 à 21:54
voila :
############################## [ FindyKill V4.716 ]

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 21:47:32 | 15/02/2009

#
#
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled



############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\Windows ]


################## [ C:\Windows\Prefetch ]

Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-11DAE7C4.pf

################## [ C:\Windows\system32 ]


################## [ C:\Windows\system32\drivers ]


################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ]

Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\shared"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\srosa2.sys"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\downld"
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers"

################## [ Cleaning Temp Files... ]


################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\MuleAppData

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio # Type of startup = 3

EapHost # Type of startup = 2

Wlansvc # Type of startup = 2

SharedAccess # Type of startup = 2

wuauserv # Type of startup = 2

wscsvc # Type of startup = 2

WinDefend # Type of startup = 2

# -> UAC is Enable

################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe


################## [ ! End of Report # FindyKill V4.716 ! ]

je suis infecté a ce point la

rassure moi je vais pas perdre de données kan meme ;

ARAMIS74 merci a toi.
0
Réponse 17 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 févr. 2009 à 23:29
normalement non

Bon il y a celui ci à surveiller : d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe


Téléchargez SmitfraudFix et enregistrez-le sur le bureau
* Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
* Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
* A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

Regarde bien le tuto qui est avec


/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

En mode sans echec la suppression des fichiers présents.


process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

0
Réponse 18 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
16 févr. 2009 à 09:04
merci a toi je fais ce que tu m'as demandé et je te poste le rapport

ARAMIS74
0
Réponse 19 / 59
aramis74 Messages postés 211 Date d'inscription mercredi 16 novembre 2005 Statut Membre Dernière intervention 20 novembre 2017 26
16 févr. 2009 à 09:07
voici le rapport demandé :
SmitFraudFix v2.396

Rapport fait à 9:04:47,10, 16/02/2009
Executé à partir de C:\Users\KARIMA et YAZID\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA et YAZID


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA~1\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA et YAZID\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

dis moi si je dois passer a la phase 2 (nettoyage en mode sans échec ) merci d'avance.
0
Réponse 20 / 59
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
16 févr. 2009 à 10:00
avant de passer à la phase 2 tu va me faire ceci :

Télécharge HostsXpert sur ton Bureau :


---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs
0

Discussions similaires

Virus détecté
Koony -
MisteryBean -

6 réponses
EMISSION LE GRAND FRERE
JACQUELINE -
kikine02 -

27 réponses
Scan trop grand !
Juliux -
Juliux -

2 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
mustapha
mustapha -
Ainillia -

1 réponse