infecté par bagle je crois HELP Résolu

Question

Bonjour,
 voila ,quand je lance avast , cleaner ou hijackthis j'ai un message qui me parle de win 32 et ils ne se lancent pas, d'après ce que j'ai lu sur google, je croi s etre infecté par virus BAGLe, j'ai donc télécharger elibagle et lancer un scan que je poste ci dessous : 


	  Sun Feb 15 14:22:33 2009
EliBagle v12.22  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.22
 a "virus@satinfo.es".  Gracias.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\105487.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\109575.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\111119.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\140588.EXE --> Eliminado Bagle.dldr
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\214314.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\225827.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\225842.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\246918.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\251801.EXE --> Eliminado Bagle
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\DOWNLD\98499.EXE --> Eliminado Bagle.dldr
Reinicie para Completar la Limpieza.

	  Sun Feb 15 14:22:59 2009
EliBagle v12.22  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

	  Sun Feb 15 14:49:02 2009
EliBagle v12.22  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.22
 a "virus@satinfo.es".  Gracias.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Sun Feb 15 15:05:59 2009
EliBagle v12.22  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.22
 a "virus@satinfo.es".  Gracias.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\KARIMA ET YAZID\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

	  Sun Feb 15 15:06:08 2009
EliBagle v12.22  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   19169
Nº Total de Ficheros:      112301
Nº de Ficheros Analizados: 21427
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0


quelqu'un peut il m'aider a me débarasser de cette saleté, ah oui j'ai désactivé les points de restauration sous vista.  Merci pour votre aide ARAMIS74.

pimprenelle27 · Answer

je ne le connais, mais je connais un autre logiciel qui peut les enlever que je connais mieux supprime celui ci et fait moi ceci : 

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe  sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage


Si besoin: Tutoriel

aramis74 · Answer

merci a toi voici le rapport findykill : 


############################## [ FindyKill V4.716 ] 

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 15:58:05 | 15/02/2009

# 
# 
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled


 
############################## [ Active Processes ]  
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
 
################## [ Infected Files / Folders C:\ ] 
 
Deleted ! - "C:\Muestras"  
Deleted ! - C:\InfoSat.txt  
 
################## [ C:\Windows ] 
 
 
################## [ C:\Windows\Prefetch ] 
 
Deleted ! - C:\Windows\prefetch\105487.EXE-176A3E0C.pf 
Deleted ! - C:\Windows\prefetch\111119.EXE-71CBEBFD.pf 
Deleted ! - C:\Windows\prefetch\130401.EXE-CCD81394.pf 
Deleted ! - C:\Windows\prefetch\140588.EXE-D82C8F39.pf 
Deleted ! - C:\Windows\prefetch\163270.EXE-87CEA546.pf 
Deleted ! - C:\Windows\prefetch\188028.EXE-054BD2BE.pf 
Deleted ! - C:\Windows\prefetch\225842.EXE-C5CB73BA.pf 
Deleted ! - C:\Windows\prefetch\251801.EXE-4854853C.pf 
Deleted ! - C:\Windows\prefetch\91478.EXE-2A4AE9B8.pf 
Deleted ! - C:\Windows\prefetch\93522.EXE-E9558878.pf 
Deleted ! - C:\Windows\prefetch\FLEC006.EXE-24FAE8E1.pf 
Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-012AC33A.pf 
 
################## [ C:\Windows\system32 ] 
 
Not deleted !! - C:\Windows\system32\mdelk.exe  
Not deleted !! - C:\Windows\system32\wintems.exe  
 
################## [ C:\Windows\system32\drivers ] 
 
 
################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ] 
 
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\flec006.exe"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\list.oct"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\data.oct"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\srvlist.oct"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\shared"  
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\srosa2.sys"  
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\wfsintwq.sys"  
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\downld"  
Not deleted !! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers"  
 
################## [ Cleaning Temp Files... ] 
 
Deleted ! - C:\Users\KARIMA et YAZID\Local Settings\Temporary Internet Files\Content.IE5\TJHATC7A\file[1].txt     
 
################## [  Registry / Infected keys ]  
 
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_CURRENT_USER\Software\bisoft   
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4   
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData     
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\MuleAppData   
 
################## [ States / Restarting of services ]  
 
# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio # Type of startup  = 3 
 
EapHost # Type of startup  = 2 
 
Wlansvc # Type of startup  = 2 
 
SharedAccess # Type of startup  = 2 
 
wuauserv # Type of startup  = 2 
 
wscsvc # Type of startup  = 2 
 
WinDefend # Type of startup  = 2 
 
# -> UAC is Enable  
 
################## [ Cleaning Removable drives ]  
 
# Deleting files : 
 
 
################## [ Registry / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ Searching Other Infections ] 
 
# Références de comparaison Bagle MD5 :

d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 

 
################## [ ! End of Report # FindyKill V4.716 ! ]

pimprenelle27 · Answer

tu peux en refaire un STP y en a qui n'ont pas été supprimé.

aramis74 · Answer

reafur equoi l'etape 1 ou l'étape 2 de findykill.   merci a toi.


ARAMIS74

pimprenelle27 · Answer

refais la 1ère d'abord. Merci

aramis74 · Answer

salut un rapport hijackthis ca peut peut etre aider.

merci a tous pour votre aide


ARAMIS74

aramis74 · Answer

salut , voici un rapport hijackthis ca peut peut etre aider : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:04, on 15/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Windows\vsnp2std.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\System32\mobsync.exe
C:\Users\KARIMA et YAZID\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VOGR3F43\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\KARIMA et YAZID\Desktop\ELIBAGLA.BC%D8BB%D8%D8I.EXE
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [L07FXLRD_436038] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [????r]  (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [?????????] ??????????????e (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [L07FXLRD_436038] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m (User '?')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin
pjpi142_19.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin
pjpi142_19.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4-windows-i586.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

aramis74 · Answer

des que lance findykill, une fentre noire s'ouvre je clique sur l'option 1 et plusieurs fois il est indiqué "Accés refusé"  et je n'ai pas de rapport a la fin qui s'affiche;

pimprenelle27 · Answer

désinstalle le, puis réinstalle c'est très important que tout soit parti.

aramis74 · Answer

j'ai désinstallé findykill puis reinstallé, exactement la meme chose toujours message " Accès refusé" et une fois j'ai cru voir "fichier introuvable"

pimprenelle27 · Answer

tu as bien désactivé le contrôle des comptes utilisateur?

aramis74 · Answer

je vias le faire et te tiens au courant merci

aramis74 · Answer

voici le nouveau rapport : 


############################## [ FindyKill V4.716 ] 

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 20:15:58 | 15/02/2009

# 
# 
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled


 
############################## [ Processus actifs ] 
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Windows\vsnp2std.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\conime.exe
 
################## [ Processus infectieux stoppés ]  
 
"C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe"  (2084)
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\Windows ] 
 
 
################## [ C:\Windows\Prefetch ] 
 
 
################## [ C:\Windows\system32 ] 
 
 
################## [ C:\Windows\system32\drivers ] 
 
 
################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ] 
 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\list.oct" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\srvlist.oct" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\shared" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\srosa2.sys" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\wfsintwq.sys" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe" 
Found ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\downld" 
 
################## [ C:\Users\KARIMA~1\AppData\Local\Temp ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\msnmsgr 
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\winupgro 
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\bisoft 
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\DateTime4 
Found ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\MuleAppData 
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr 
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S 
Found ! - HKEY_CURRENT_USER\Software\bisoft 
Found ! - HKEY_CURRENT_USER\Software\DateTime4 
Found ! - HKEY_CURRENT_USER\Software\MuleAppData   
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit   
 
# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1
 
################## [ Etat / Services ] 
 
# Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

Ndisuio # Type de démarrage = 4 
 
EapHost # Type de démarrage = 2 
 
Wlansvc # Type de démarrage = 2 
 
SharedAccess # Type de démarrage = 4 
 
wuauserv # Type de démarrage = 4 
 
wscsvc # Type de démarrage = 4 
 
WinDefend # Type de démarrage = 4 
 
# -> UAC is Disable  
 
################## [ Recherche dans supports amovibles] 
 
# presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.716 ! ]  
 
merci a toi.              ARAMIS74

pimprenelle27 · Answer

et ba dite donc tu est bien infecté :

Etape 3/

Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt

aramis74 · Answer

voila : 
############################## [ FindyKill V4.716 ] 

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 21:47:32 | 15/02/2009

# 
# 
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled


 
############################## [ Active Processes ]  
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
 
################## [ Infected Files / Folders C:\ ] 
 
 
################## [ C:\Windows ] 
 
 
################## [ C:\Windows\Prefetch ] 
 
Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-11DAE7C4.pf 
 
################## [ C:\Windows\system32 ] 
 
 
################## [ C:\Windows\system32\drivers ] 
 
 
################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ] 
 
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\list.oct"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\srvlist.oct"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m\shared"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\m"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\srosa2.sys"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\wfsintwq.sys"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\downld"  
Deleted ! - "C:\Users\KARIMA et YAZID\AppData\Roaming\drivers"  
 
################## [ Cleaning Temp Files... ] 
 
 
################## [  Registry / Infected keys ]  
 
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_CURRENT_USER\Software\bisoft   
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4   
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData     
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\msnmsgr   
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! - HKEY_USERS\S-1-5-21-598018020-551376951-3056779451-1000\Software\MuleAppData   
 
################## [ States / Restarting of services ]  
 
# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio # Type of startup  = 3 
 
EapHost # Type of startup  = 2 
 
Wlansvc # Type of startup  = 2 
 
SharedAccess # Type of startup  = 2 
 
wuauserv # Type of startup  = 2 
 
wscsvc # Type of startup  = 2 
 
WinDefend # Type of startup  = 2 
 
# -> UAC is Enable  
 
################## [ Cleaning Removable drives ]  
 
# Deleting files : 
 
 
################## [ Registry / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ Searching Other Infections ] 
 
# Références de comparaison Bagle MD5 :

d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 

 
################## [ ! End of Report # FindyKill V4.716 ! ] 
                    
 je suis infecté a ce point la 

rassure moi je vais pas perdre de données kan meme ;

ARAMIS74 merci a toi.

pimprenelle27 · Answer

normalement non 

Bon il y a celui ci à surveiller :  d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 


Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

Regarde bien le tuto qui est avec


/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

En mode sans echec la suppression des fichiers présents.


process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

aramis74 · Answer

merci a toi je fais ce que tu m'as demandé et je te poste le rapport 

ARAMIS74

aramis74 · Answer

voici le rapport demandé : 
SmitFraudFix v2.396

Rapport fait à  9:04:47,10, 16/02/2009
Executé à partir de C:\Users\KARIMA et YAZID\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA et YAZID


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA~1\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA et YAZID\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\KARIMA~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

dis moi si je dois passer a la phase 2 (nettoyage en mode sans échec ) merci d'avance.

pimprenelle27 · Answer

avant de passer à la phase 2 tu va me faire ceci : 

Télécharge HostsXpert sur ton Bureau :


---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

aramis74 · Answer

ca y est c'est fait, je sais pas si cela a fait quelque chose.

pimprenelle27 · Answer

ensuite ceci :

Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

aramis74 · Answer

j'ai fait ce que tu m'as dit mais des que je clique sur le fichier .bat que tu m'as nommé j'ai une fenetre bleue qui s'affiche et des messages d'erreurs et aucun rapport n'est généré.

pimprenelle27 · Answer

as tu désactivé le contrôle des comptes utilisateur comme indiqué?

aramis74 · Answer

j'ai réussi a lancer avira antivir après avoir désactivé l'UAC et les points de restauration et voici son rapport : Avira AntiVir Personal Date de création du fichier de rapport : lundi 16 février 2009 14:51 La recherche porte sur 1247910 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows Vista Version de Windows :(Service Pack 1) [6.0.6001] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :KARIMAETYAZID Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 13:47:24 ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11/02/2009 13:47:25 ANTIVIR3.VDF : 7.1.2.31 103424 Bytes 16/02/2009 13:47:26 Version du moteur: 8.2.0.79 AEVDF.DLL : 8.1.1.0 106868 Bytes 16/02/2009 13:47:33 AESCRIPT.DLL : 8.1.1.47 348539 Bytes 16/02/2009 13:47:32 AESCN.DLL : 8.1.1.7 127347 Bytes 16/02/2009 13:47:32 AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38 AEPACK.DLL : 8.1.3.8 397684 Bytes 16/02/2009 13:47:31 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 16/02/2009 13:47:30 AEHEUR.DLL : 8.1.0.90 1573237 Bytes 16/02/2009 13:47:29 AEHELP.DLL : 8.1.2.0 119159 Bytes 16/02/2009 13:47:28 AEGEN.DLL : 8.1.1.16 332148 Bytes 16/02/2009 13:47:27 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56 AECORE.DLL : 8.1.6.5 176501 Bytes 16/02/2009 13:47:26 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : lundi 16 février 2009 14:51 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés Processus de recherche 'MemCheck.exe' - '1' module(s) sont contrôlés Processus de recherche 'Acer.Empowering.Framework.Supervisor.ex' - '1' module(s) sont contrôlés Processus de recherche 'ACService.exe' - '1' module(s) sont contrôlés Processus de recherche 'PhAutoRun.exe' - '1' module(s) sont contrôlés Processus de recherche 'PDFCreator.exe' - '1' module(s) sont contrôlés Processus de recherche 'Hotsync.exe' - '1' module(s) sont contrôlés Processus de recherche 'CTSyncU.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'Eraser.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'vsnp2std.exe' - '1' module(s) sont contrôlés Processus de recherche 'ACDaemon.exe' - '1' module(s) sont contrôlés Processus de recherche 'CTCheck.exe' - '1' module(s) sont contrôlés Processus de recherche 'SysMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'eDSloader.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '58' processus ont été contrôlés avec '58' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. [INFO] Veuillez relancer la recherche avec les droits d'administrateur La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '49' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\Program Files\Audible\antivir_workstation_winu_fr_h.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\Users\KARIMA et YAZID\AppData\Local\VirtualStore\Program Files\Eraser\Eraser.exe -hide [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.ank [REMARQUE] Fichier supprimé. Recherche débutant dans 'D:\' Fin de la recherche : lundi 16 février 2009 15:19 Temps nécessaire: 28:19 Minute(s) La recherche a été effectuée intégralement 20790 Les répertoires ont été contrôlés 302796 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 1 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 302793 Fichiers non infectés 3773 Les archives ont été contrôlées 6 Avertissements 1 Consignes ca peut aider tu crois ? Merci pour ton aide ARAMIS 74

pimprenelle27 · Answer

et le rapport genproc il est où?

aramis74 · Answer

des que je lance gen proc.dat j'ai un message d'erreur "code 800A01Ae" "czette classe ne genere pas Automation" Erreur d'execution Microsoft VB script" et il me met sur l'écran bleu "Acces refusé plusieurs fois et se referme"


voila ARAMIS74

pimprenelle27 · Answer

tu as bien désactivé le contrôle des comptes et redémaré ton ordi?

aramis74 · Answer

oui , et je l'a irelancé encore y 'a 2 minutes apres redemarrage, et il me met " cette interface n'est pas pris en charge" et me remet le meme code erreur que ci dessus

pimprenelle27 · Answer

pas grave : renomme bien combo.

    *  Quand il y a une infection  bagle, renomer ComboFix en killbagle.
    *

    *


    * Télécharger ComboFix (par sUBs) sur le Bureau.
    * Double-cliquer combofix.exe.
    * Il est vivement recommandé d'installer la Console de récupération !
    * Appuyer sur la touche Y (Yes) pour démarrer le scan.
    * Le rapport sera crée dans: C:\Combofix.txt.
    * Refaire un rapport HijackThis, et fixer les lignes correspondantes comme indiqué plus haut.



Le tutoriel officiel


Sous Vista :

    * Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    * Aller dans démarrer puis panneau de configuration.
    * Double-cliquer sur l'icône Comptes d'utilisateurs.
    * Cliquer ensuite sur désactiver et valider.
    * Faire un clic-droit sur ComboFix présent sur le Bureau et choisir Exécuter en tant qu'administrateur.
    * Double-cliquer sur combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan.
    * Le rapport sera crée dans: C:\Combofix.txt
          o En cas de difficulté à dépouiller les résultats du rapport seul, il est conseillé de le poster en forum afin qu'une personne avertie vous guide dans l'utilisation et l'analyse des rapports. La "puissance" et la difficulté à analyser les résultats des rapports en font un fix à utiliser avec précaution.

aramis74 · Answer

donc je lance combofix en tant qu'administrateur je suppose et je choisis Y pour lancer le scan, je refais un scan hijakthis et je fixe quels lignes ci dessus ?

pimprenelle27 · Answer

non tu me donne juste le combo on verra après . Merci.

aramis74 · Answer

ok voila le rapport combo : ComboFix 09-02-15.01 - KARIMA et YAZID 2009-02-16 21:09:39.2 - NTFSx86 Lancé depuis: c:\users\KARIMA et YAZID\Desktop\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 )))))))))))))))))))))))))))))))))))) . 2009-02-16 19:51 . 2009-02-16 20:00 d-------- C:\killbagle 2009-02-16 17:15 . 2009-02-16 17:15 d-------- c:\program files\Common Files\Windows Live 2009-02-16 14:46 . 2009-02-16 14:46 d-------- c:\program files\Avira 2009-02-16 14:46 . 2009-02-16 14:46 d-------- c:\progra~2\Avira 2009-02-16 14:30 . 2009-02-16 19:53 d--h----- c:\users\KARIMA et YAZID\AppData\Roaming\drivers 2009-02-15 16:39 . 2009-02-15 16:39 d-------- c:\program files\antivir 2009-02-15 15:36 . 2009-02-15 15:36 d-------- c:\program files\CCleaner 2009-02-15 15:30 . 2009-02-15 21:48 d-------- c:\program files\FindyKill 2009-02-15 12:38 . 2009-02-15 12:38 d-------- C:\GlarySoft 2009-02-15 12:22 . 2009-02-15 12:22 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-02-15 12:22 . 2009-02-15 12:22 d-------- c:\progra~2\Malwarebytes 2009-02-15 12:22 . 2009-02-11 10:19 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2009-02-15 12:22 . 2009-02-11 10:19 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2009-02-15 11:28 . 2009-02-16 19:34 54,156 --ah----- c:\windows\QTFont.qfn 2009-02-15 11:28 . 2009-02-15 11:28 1,409 --a------ c:\windows\QTFont.for 2009-02-15 11:15 . 2009-02-15 11:15 d-------- c:\program files\Navman 2009-02-15 11:15 . 2006-12-13 22:25 30,329 --a------ c:\windows\System32\drivers\Navcar.sys 2009-02-13 11:58 . 2007-03-08 00:51 129,784 --------- c:\windows\System32\pxafs.dll 2009-02-13 11:08 . 2009-02-13 11:14 1,208 --a------ c:\windows\Radio_Fr.ini 2009-02-13 10:55 . 2009-02-13 17:50 d-------- c:\program files\Winamp 2009-02-13 10:03 . 2009-02-13 10:03 d-------- c:\users\KARIMA et YAZID\AppData\Roaming\Technicland 2009-02-13 10:03 . 2009-02-13 10:03 266,240 --------- c:\windows\Setup1.exe 2009-02-13 10:03 . 2009-02-13 10:03 74,752 --a------ c:\windows\ST6UNST.EXE 2009-02-12 14:58 . 2008-11-06 17:37 3,596,288 --a------ c:\windows\System32\qt-dx331.dll 2009-02-12 14:58 . 2008-09-24 19:41 839,680 --a------ c:\windows\System32\lameACM.acm 2009-02-12 14:58 . 2008-12-07 19:08 795,648 --a------ c:\windows\System32\xvidcore.dll 2009-02-12 14:58 . 2008-11-06 17:33 684,032 --a------ c:\windows\System32\divx.dll 2009-02-12 14:58 . 2004-01-25 17:18 217,088 --a------ c:\windows\System32\yv12vfw.dll 2009-02-12 14:58 . 2008-09-16 20:23 168,448 --a------ c:\windows\System32\unrar.dll 2009-02-12 14:58 . 2008-12-07 19:08 130,048 --a------ c:\windows\System32\xvidvfw.dll 2009-02-12 14:58 . 2007-09-21 01:52 118,784 --a------ c:\windows\System32\ac3acm.acm 2009-02-12 14:58 . 2008-12-11 01:33 86,016 --a------ c:\windows\System32\dpl100.dll 2009-02-12 14:58 . 2008-12-08 12:53 57,344 --a------ c:\windows\System32\ff_vfw.dll 2009-02-12 14:58 . 2007-07-10 17:10 547 --a------ c:\windows\System32\ff_vfw.dll.manifest 2009-02-12 14:58 . 2008-10-03 13:30 414 --a------ c:\windows\System32\lame_acm.xml 2009-02-12 13:31 . 2008-12-05 05:32 428,544 --a------ c:\windows\System32\EncDec.dll 2009-02-12 13:31 . 2008-12-05 05:32 293,376 --a------ c:\windows\System32\psisdecd.dll 2009-02-12 13:31 . 2008-12-05 05:31 217,088 --a------ c:\windows\System32\psisrndr.ax 2009-02-12 13:31 . 2008-12-05 05:31 177,664 --a------ c:\windows\System32\mpg2splt.ax 2009-02-12 13:31 . 2008-12-05 05:31 80,896 --a------ c:\windows\System32\MSNP.ax 2009-02-11 13:47 . 2008-11-09 23:34 61,555 --a------ c:\windows\System32\jpicpl32.cpl 2009-02-11 13:46 . 2009-02-11 13:47 d-------- c:\program files\Java 2009-02-11 13:46 . 2009-02-11 13:46 d-------- c:\program files\Common Files\Java 2009-02-11 08:02 . 2009-01-15 04:36 1,383,424 --a------ c:\windows\System32\mshtml.tlb 2009-02-11 08:02 . 2009-01-15 07:11 827,392 --a------ c:\windows\System32\wininet.dll 2009-02-02 11:12 . 2009-02-16 20:18 d-------- c:\program files\Passware 2009-02-02 10:15 . 2009-02-02 10:30 d-------- c:\program files\VuPassword 2009-01-30 19:55 . 2009-02-16 17:22 d-------- c:\program files\Microsoft 2009-01-30 19:45 . 2008-06-20 02:14 781,344 --a------ c:\windows\System32\PresentationNative_v0300.dll 2009-01-30 19:45 . 2008-06-20 02:14 622,080 --a------ c:\windows\System32\icardagt.exe 2009-01-30 19:45 . 2008-06-20 02:14 326,160 --a------ c:\windows\System32\PresentationHost.exe 2009-01-30 19:45 . 2008-06-20 02:14 105,016 --a------ c:\windows\System32\PresentationCFFRasterizerNative_v0300.dll 2009-01-30 19:45 . 2008-06-20 02:14 97,800 --a------ c:\windows\System32\infocardapi.dll 2009-01-30 19:45 . 2008-06-20 02:14 43,544 --a------ c:\windows\System32\PresentationHostProxy.dll 2009-01-30 19:45 . 2008-06-20 02:14 37,384 --a------ c:\windows\System32\infocardcpl.cpl 2009-01-30 19:45 . 2008-06-20 02:14 11,264 --a------ c:\windows\System32\icardres.dll 2009-01-30 19:40 . 2008-07-27 19:03 282,112 --a------ c:\windows\System32\mscoree.dll 2009-01-30 19:40 . 2008-07-27 19:03 158,720 --a------ c:\windows\System32\mscorier.dll 2009-01-30 19:40 . 2008-07-27 19:03 96,760 --a------ c:\windows\System32\dfshim.dll 2009-01-30 19:40 . 2008-07-27 19:03 83,968 --a------ c:\windows\System32\mscories.dll 2009-01-30 19:40 . 2008-07-27 19:03 41,984 --a------ c:\windows\System32 etfxperf.dll 2009-01-27 19:21 . 2009-01-27 19:21 d-------- c:\program files\MAGIX 2009-01-27 19:21 . 2009-01-27 19:21 d-------- c:\progra~2\MAGIX 2009-01-27 19:21 . 2007-04-27 10:43 120,200 --a------ c:\windows\System32\DLLDEV32i.dll 2009-01-27 19:20 . 2009-01-27 19:28 d-------- c:\windows\System32\MAGIX 2009-01-27 19:20 . 2007-07-11 11:53 697,560 --a------ c:\windows\System32\mgxoschk.dll 2009-01-27 19:20 . 2009-01-27 19:28 6,651 --a------ c:\windows\mgxoschk.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-16 18:40 --------- d-----w c:\program files\Windows Live 2009-02-16 16:25 --------- d-----w c:\progra~2\WLInstaller 2009-02-16 15:11 --------- d-----w c:\program files\Free Easy Burner 2009-02-15 20:26 --------- d-----w c:\program files\Spybot - Search & Destroy 2009-02-15 20:26 --------- d-----w c:\progra~2\Spybot - Search & Destroy 2009-02-15 15:39 --------- d-----w c:\program files\Audible 2009-02-15 14:05 --------- d-----w c:\program files\eMule 2009-02-15 14:05 --------- d-----w c:\progra~2\eMule 2009-02-15 12:34 --------- d-----w c:\users\KARIMA et YAZID\AppData\Roaming\Desktopicon 2009-02-15 10:37 --------- d-----w c:\program files\a-squared Free 2009-02-15 10:32 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-14 13:19 --------- d-----w c:\program files\K-Lite Codec Pack 2009-02-13 10:48 --------- d-----w c:\users\KARIMA et YAZID\AppData\Roaming\vlc 2009-02-11 22:39 --------- d-----w c:\program files\Windows Mail 2009-01-09 08:31 107,360 ----a-w c:\users\KARIMA et YAZID\AppData\Roaming\GDIPFONTCACHEV1.DAT 2009-01-08 10:26 --------- d-----w c:\program files\Palm 2009-01-08 10:17 --------- d-----w c:\progra~2\HotSync 2009-01-08 10:13 --------- d-----w c:\users\KARIMA et YAZID\AppData\Roaming\HotSync 2009-01-08 10:13 --------- d-----w c:\program files\palmOne 2009-01-07 15:13 --------- d-----w c:\program files\Le Robert 2009-01-07 14:52 --------- d-----w c:\progra~2\Le Robert 2009-01-03 10:12 --------- d-----w c:\program files\Microsoft Encarta 2008-12-23 18:22 --------- d-----w c:\users\KARIMA et YAZID\AppData\Roaming\SiteAdvisor 2008-12-16 02:42 288,768 ----a-w c:\windows\system32\drivers\srv.sys 2008-07-08 18:17 691 ----a-w c:\users\KARIMA et YAZID\AppData\Roaming\GetValue.vbs 2008-07-08 18:17 35 ----a-w c:\users\KARIMA et YAZID\AppData\Roaming\SetValue.bat 2008-04-07 18:27 174 --sha-w c:\program files\desktop.ini . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "????r"="" [?] "?????????"="??????????????e" [?] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920] "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856] "Eraser"="c:\program files\Eraser\Eraser.exe" [2007-12-23 916240] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] "CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-07 464168] "Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-11-23 319488] "CTCheck"="c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312] "ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2008-04-17 98616] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "snp2std"="c:\windows\vsnp2std.exe" [2005-10-20 339968] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 c:\windows\RtHDVCpl.exe] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2006-12-13 528384] HotSync Manager.lnk - c:\program files\Palm\Hotsync.exe [2008-01-03 1392640] Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] PDFCreator.lnk - c:\program files\PDFCreator\PDFCreator.exe [2008-09-21 2641920] PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-08-28 40960] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) "EnableLUA"= 0 (0x0) [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk] backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Digimax Viewer 1.0.lnk] backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^Users^KARIMA et YAZID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^HotSync Manager.lnk] backupExtension=.Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UacDisableNotify"=dword:00000001 "InternetSettingsDisableNotify"=dword:00000001 "AutoUpdateDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 "AntiSpywareOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-598018020-551376951-3056779451-1000] "EnableNotificationsRef"=dword:0000000c [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{13E09A81-2E8C-4502-B660-66214B593F50}"= UDP:c:\program files\Acer Zone\Acer Zone Main Page\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite "{19200CF2-4EFD-4575-8347-F5C49104B8E6}"= TCP:c:\program files\Acer Zone\Acer Zone Main Page\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite "{BFC01D75-54E3-41E6-A710-C9B948DBE735}"= UDP:c:\program files\Acer Zone\Acer Picture Slide DVD\Component\CLSLDVD.exe:Cyberlink Picture Slide DVD workprocess "{E2509781-8847-485F-9B69-AC24D0C6C333}"= TCP:c:\program files\Acer Zone\Acer Picture Slide DVD\Component\CLSLDVD.exe:Cyberlink Picture Slide DVD workprocess "{74E1DA07-00C3-48EA-A933-35D52CB685AB}"= UDP:c:\program files\Acer Zone\Acer Plug and Record\Component\ARAWP.exe:Cyberlink Plug and Record ARA workprocess "{196622AD-3BBE-400B-9B43-09766EC092D2}"= TCP:c:\program files\Acer Zone\Acer Plug and Record\Component\ARAWP.exe:Cyberlink Plug and Record ARA workprocess "{7CF4E46F-40BD-4F20-B6D4-59A734580406}"= UDP:c:\program files\Acer Zone\Acer Plug and Record\Component\DVAX2Process.exe:Cyberlink Plug and Record AVAX workprocess "{66DFF60B-8534-402D-811D-3A1951C59156}"= TCP:c:\program files\Acer Zone\Acer Plug and Record\Component\DVAX2Process.exe:Cyberlink Plug and Record AVAX workprocess "{F00E42DF-657C-44C5-8220-A23CFA5547F0}"= UDP:c:\program files\Acer Zone\Acer Zone SoftDMA\SoftDMA.exe:CyberLink SoftDMA "{D16AAB87-16FC-44F2-891D-1CFD768B7275}"= TCP:c:\program files\Acer Zone\Acer Zone SoftDMA\SoftDMA.exe:CyberLink SoftDMA "{27AFF502-8AC6-4F01-A9F5-E2BCC7135B26}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent "{6944806D-3CA4-4349-8BC7-B40EC3DEFD33}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent "{B5890A9B-FBCB-4BCD-AE25-8138262C8D4D}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{F57B17A0-57D2-4D8F-AAA4-1BBC64AEA907}"= TCP:4674:emulee "{D00C8756-4083-4455-B7EC-2BDE5EC6389A}"= UDP:4651:emule "{38FBFB00-32DC-4AC7-B46D-B838FD04D86B}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp "{FBC133F5-955A-4D2D-B192-2C8453854AE5}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp "{4046C857-CD4E-40BA-B28A-79143E69738A}"= UDP:c:\program files\ma-config.com\maconfservice.exe:maconfservice "{1255D724-FDAB-4D87-9D22-C9A58951527F}"= TCP:c:\program files\ma-config.com\maconfservice.exe:maconfservice "{7D3A4196-DCBA-416E-95EB-A86EE1C69391}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{3B0774FF-878B-4C8E-99F9-FA5CEE4387BF}"= Disabled:UDP:c:\program files\Neuf\Media Center\httpd\httpd.exe:Apache HTTP Server "{95D59362-9DF4-48D9-9082-03D4027C811F}"= Disabled:TCP:c:\program files\Neuf\Media Center\httpd\httpd.exe:Apache HTTP Server "{310E4475-1033-426E-9389-E69CEF7E29C5}"= UDP:c:\program files\eMule\emule.exe:eMule "{90AE311C-2505-4DA3-A8D9-365032FDA56A}"= TCP:c:\program files\eMule\emule.exe:eMule "TCP Query User{409075BE-2537-4AA9-8C00-ED02BC6D1CEB}c:\program files\utorrent\utorrent.exe"= UDP:c:\program files\utorrent\utorrent.exe:uTorrent "UDP Query User{1E59DA96-C08B-432C-A4C2-56B2635FE298}c:\program files\utorrent\utorrent.exe"= TCP:c:\program files\utorrent\utorrent.exe:uTorrent "TCP Query User{2947658F-2FC2-4C41-9B94-1C212BE2F3BB}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{0B53962C-07BE-4B71-9E0F-F35D854B16C6}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer "TCP Query User{BD1C492B-448E-4B99-B3BE-EC5A14C59B37}c:\program files\peertv\peercast.exe"= UDP:c:\program files\peertv\peercast.exe:PeerCast "UDP Query User{65DE2D65-4D0A-4127-B73F-E0AF99CF1655}c:\program files\peertv\peercast.exe"= TCP:c:\program files\peertv\peercast.exe:PeerCast "{1CBC65A6-6C49-4B73-8284-6F3A1F9ACB9D}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In) "{EC4AA6FC-6ECA-478A-9E7B-62F65F6EC5BF}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In) "TCP Query User{DD85723C-7288-4C4C-8F13-9F2376D54754}c:\program files\vidal\vidalexpert\lib\ieembed.exe"= UDP:c:\program files\vidal\vidalexpert\lib\ieembed.exe:JDesktop Integration Components binary "UDP Query User{4DCA2349-A36C-4024-BFFF-5B54E43DD1BC}c:\program files\vidal\vidalexpert\lib\ieembed.exe"= TCP:c:\program files\vidal\vidalexpert\lib\ieembed.exe:JDesktop Integration Components binary "TCP Query User{D950496F-F7C1-425E-B1F8-4A6841E4176B}c:\program files\palmone\hotsync.exe"= UDP:c:\program files\palmone\hotsync.exe:HotSync® Manager Application "UDP Query User{755B6F76-1D59-4F2A-956A-7F8B55872AA3}c:\program files\palmone\hotsync.exe"= TCP:c:\program files\palmone\hotsync.exe:HotSync® Manager Application "TCP Query User{0F8D3864-67CC-44A4-9769-98F679DC6D61}c:\program files\radioweb player\radiowebplayer.exe"= UDP:c:\program files adioweb player adiowebplayer.exe:Logiciel d'écoute de radio sur Internet "UDP Query User{00EF0030-A44E-49BC-911A-C309A8DA7D6D}c:\program files\radioweb player\radiowebplayer.exe"= TCP:c:\program files adioweb player adiowebplayer.exe:Logiciel d'écoute de radio sur Internet "TCP Query User{C82E935B-7D12-44C9-A802-4CB25DDDE385}c:\users\karima et yazid\appdata\local\screamer radio\screamer.exe"= UDP:c:\users\karima et yazid\appdata\local\screamer radio\screamer.exe:screamer.exe "UDP Query User{E48C5826-ADFB-4F93-847C-2E523EDB4249}c:\users\karima et yazid\appdata\local\screamer radio\screamer.exe"= TCP:c:\users\karima et yazid\appdata\local\screamer radio\screamer.exe:screamer.exe "TCP Query User{22DF3D13-1882-4CA9-8D5D-1C301A6E060E}c:\program files\adsltv\adsltv.exe"= UDP:c:\program files\adsltv\adsltv.exe:adsltv "UDP Query User{89A2FE9D-50B6-4A23-910E-606C356F83D4}c:\program files\adsltv\adsltv.exe"= TCP:c:\program files\adsltv\adsltv.exe:adsltv R0 BtHidBus;Bluetooth HID Bus Service; [x] R3 IvtBtBUs;IVT Bluetooth Bus Service; [x] R3 MBAMCatchMe;MBAMCatchMe; [x] R3 Navcar;Navman In-car Navigator USB Driver Service;c:\windows\system32\DRIVERS\Navcar.sys [2006-12-13 30329] --- Autres Services/Pilotes en mémoire --- *Deregistered* - AFD *Deregistered* - avgio *Deregistered* - avgntflt *Deregistered* - avipbb *Deregistered* - Beep *Deregistered* - bowser *Deregistered* - BTSERIAL *Deregistered* - BTSLBCSP *Deregistered* - cdfs *Deregistered* - CLFS *Deregistered* - crcdisk *Deregistered* - DfsC *Deregistered* - DXGKrnl *Deregistered* - FileInfo *Deregistered* - FltMgr *Deregistered* - giveio *Deregistered* - HTTP *Deregistered* - int15 *Deregistered* - iScsiPrt *Deregistered* - KSecDD *Deregistered* - lltdio *Deregistered* - luafv *Deregistered* - MountMgr *Deregistered* - mpsdrv *Deregistered* - MRxDAV *Deregistered* - mrxsmb *Deregistered* - mrxsmb10 *Deregistered* - mrxsmb20 *Deregistered* - Msfs *Deregistered* - msisadrv *Deregistered* - mssmbios *Deregistered* - Mup *Deregistered* - NativeWifiP *Deregistered* - NDIS *Deregistered* - Ndisuio *Deregistered* - NdisWan *Deregistered* - NDProxy *Deregistered* - NetBIOS *Deregistered* - netbt *Deregistered* - Npfs *Deregistered* - nsiproxy *Deregistered* - Ntfs *Deregistered* - Null *Deregistered* - Parvdm *Deregistered* - PEAUTH *Deregistered* - PptpMiniport *Deregistered* - PSched *Deregistered* - PSDFilter *Deregistered* - PSDNServ *Deregistered* - psdvdisk *Deregistered* - RasAcd *Deregistered* - Rasl2tp *Deregistered* - RasPppoe *Deregistered* - RasSstp *Deregistered* - rdbss *Deregistered* - RDPCDD *Deregistered* - RDPENCDD *Deregistered* - rspndr *Deregistered* - secdrv *Deregistered* - Smb *Deregistered* - spldr *Deregistered* - srv *Deregistered* - srv2 *Deregistered* - srvnet *Deregistered* - ssmdrv *Deregistered* - StarOpen *Deregistered* - swenum *Deregistered* - Tcpip *Deregistered* - tcpipreg *Deregistered* - tdx *Deregistered* - TermDD *Deregistered* - tifsfilter *Deregistered* - tunmp *Deregistered* - tunnel *Deregistered* - UBHelper *Deregistered* - umbus *Deregistered* - VgaSave *Deregistered* - volmgr *Deregistered* - volmgrx *Deregistered* - volsnap *Deregistered* - Wanarpv6 *Deregistered* - Wdf01000 . Contenu du dossier 'Tâches planifiées' 2009-02-16 c:\windows\Tasks\GlaryInitialize.job - c:\program files\Glary Utilities\initialize.exe [2008-09-17 15:35] 2009-02-16 c:\windows\Tasks\Maintenance en 1 clic.job - c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_0_0_30.cab FF - ProfilePath - c:\users\KARIMA et YAZID\AppData\Roaming\Mozilla\Firefox\Profiles\umca0est.default\ ---- PARAMETRES FIREFOX ---- FF - user.js: general.useragent.extra.zencast - );user_pref(general.useragent.extra.zencast, );user_pref(yahoo.homepage.dontask, true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-16 21:11:21 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... c:\users\KARIMA~1\AppData\Local\Temp\catchme.dll 53248 bytes executable Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'Explorer.exe'(1356) c:\windows\system32\MsnChatHook.dll c:\windows\system32\ShowErrMsg.dll c:\windows\system32\sysenv.dll c:\windows\system32\BatchCrypto.dll c:\windows\system32\CryptoAPI.dll c:\windows\system32\keyManager.dll c:\windows\system32\btneighborhood.dll c:\windows\system32\wbtapi.dll c:\windows\system32\btwpimif.dll c:\windows\system32\btosif.dll c:\windows\system32\btrez.dll c:\windows\system32\CSH.dll . Heure de fin: 2009-02-16 21:13:22 ComboFix-quarantined-files.txt 2009-02-16 20:13:18 ComboFix2.txt 2009-02-16 20:08:14 ComboFix3.txt 2009-02-16 18:56:03 Avant-CF: 53 787 594 752 octets libres Après-CF: 53,752,958,976 octets libres 337 --- E O F --- 2009-02-16 07:13:07

pimprenelle27 · Answer

ok maintenant ta vas me faire un nouvel hiajckthis et ensuite ceci : 

Telecharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


Tutoriaux

aramis74 · Answer

voici le rapport malware, je n'ai pas pu lancer hijakthis ( message application win 32 invalide) meme apres avoir desactivé l'UAC et le lancer en tant qu'administrateur. (faut il le lancer en mode sans échec ou pas, 

rapport : 

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1768
Windows 6.0.6001 Service Pack 1

17/02/2009 12:22:59
mbam-log-2009-02-17 (12-22-59).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 155985
Temps écoulé: 48 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\KARIMA et YAZID\Downloads\GenProc\outil\curl.exe (Trojan.Agent) -> Quarantined and deleted successfully.


merci a toi.   ah oui au fait msn a disparu ? je ne peux ni l'installer ni le désinstalle, est ce que c'est lié d'après toi ?       ARAMIS74

pimprenelle27 · Answer

je pense que oui :

Tu va me refaire ceci : 

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe  sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage


Si besoin: Tutoriel

Ensuite ceci : 

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

aramis74 · Answer

merci a toi mais plusieurs questions : 
* je fais ces manip en mode normal ou en sans echec ? 
* et l'UAC est toujours désactivé ( ou dois je le réactiver ?),
* j'execute tout ces executables en tant qu'administrateur ou pas ?
* et avira antiv est mon nouvel antivirus,( j'ai viré AVAST) dois je les cdésactiver ou pas pendant l'execution de ces programmes ?
* une autre chose, n'ayant pas de cybercafé ou d'autres pc a proximité , je me sers uniquement du pc infecté dont je te parle (cela pose til problème pour l'aide et les conseils que tu me donnes ?

excuse mes questions mais je suis un novice en info, j'aimerai suivre tes instructions sans faire de betises

merci a toi ARAMIS 74.

j'attends ta réponse avant de commencer.
j'ai quand meme le rapport killfix demandé avec l'option 1 :


############################## [ FindyKill V4.716 ] 

# User : KARIMA et YAZID (Administrateurs) # KARIMAETYAZID
# Update on 10/02/09 by Chiquitine29
# Start at: 15:31:21 | 17/02/2009

# 
# 
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled


 
############################## [ Processus actifs ] 
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\System32\SysMonitor.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Windows\system32\WUDFHost.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\Windows ] 
 
 
################## [ C:\Windows\Prefetch ] 
 
 
################## [ C:\Windows\system32 ] 
 
 
################## [ C:\Windows\system32\drivers ] 
 
 
################## [ C:\Users\KARIMA et YAZID\AppData\Roaming ] 
 
 
################## [ C:\Users\KARIMA~1\AppData\Local\Temp ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Etat / Services ] 
 
# Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

Ndisuio # Type de démarrage = 3 
 
EapHost # Type de démarrage = 2 
 
Wlansvc # Type de démarrage = 2 
 
SharedAccess # Type de démarrage = 2 
 
wuauserv # Type de démarrage = 2 
 
wscsvc # Type de démarrage = 2 
 
WinDefend # Type de démarrage = 2 
 
# -> UAC is Enable  
 
################## [ Recherche dans supports amovibles] 
 
# presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.716 ! ]  
 
mon adresse email si tu veux : benkirat.yazid@neuf.fr

ARAMIS74

aramis74 · Answer

excuse mais j'ai enfin reussi a faire hijackthis, je devais avoir le mauvais fichier ou je ne sais quoi (je n'avais pas le fichier HJInstall.exe" mais un autre)


voila le rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:34, on 17/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\System32\SysMonitor.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [????r]  (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [?????????] ??????????????e (User '?')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin
pjpi142_19.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin
pjpi142_19.dll
O13 - Gopher Prefix: 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4-windows-i586.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe (file missing)
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

pimprenelle27 · Answer

Maintenant SAS. Merci.

aramis74 · Answer

le voici apres 3 longues heures, il m'a trouvé 73 saletés, est ce que je dois dorénavant le garder et le coupler avec antivir ?

rapport : 

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 02/17/2009 at 11:02 PM

Application Version : 4.25.1012

Core Rules Database Version : 3763
Trace Rules Database Version: 1724

Scan type       : Complete Scan
Total Scan Time : 03:22:28

Memory items scanned      : 717
Memory threats detected   : 0
Registry items scanned    : 7139
Registry threats detected : 0
File items scanned        : 300575
File threats detected     : 73

Adware.Tracking Cookie
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@ad.yieldmanager[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@adopt.euroclick[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@adtech[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@aimfar.solution.weborama[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@kontera[2].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@microsoftwindows.112.2o7[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@smartadserver[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@specificclick[2].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@weborama[1].txt
	C:\Documents and Settings\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@xiti[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@ad.yieldmanager[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@adopt.euroclick[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@adtech[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@aimfar.solution.weborama[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@kontera[2].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@microsoftwindows.112.2o7[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@smartadserver[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@specificclick[2].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@weborama[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@xiti[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@ad.yieldmanager[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@adopt.euroclick[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@adtech[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@aimfar.solution.weborama[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@kontera[2].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@microsoftwindows.112.2o7[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@smartadserver[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@specificclick[2].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@weborama[1].txt
	C:\Documents and Settings\KARIMA et YAZID\Cookies\Low\karima_et_yazid@xiti[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@ad.yieldmanager[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@adopt.euroclick[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@adtech[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@aimfar.solution.weborama[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@kontera[2].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@microsoftwindows.112.2o7[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@smartadserver[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@specificclick[2].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@weborama[1].txt
	C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@xiti[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@ad.yieldmanager[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@adopt.euroclick[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@adtech[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@aimfar.solution.weborama[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@kontera[2].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@microsoftwindows.112.2o7[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@smartadserver[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@specificclick[2].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@weborama[1].txt
	C:\Users\KARIMA et YAZID\Application Data\Microsoft\Windows\Cookies\Low\karima_et_yazid@xiti[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@ad.yieldmanager[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@adopt.euroclick[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@adtech[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@aimfar.solution.weborama[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@kontera[2].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@microsoftwindows.112.2o7[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@smartadserver[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@specificclick[2].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@weborama[1].txt
	C:\Users\KARIMA et YAZID\Cookies\Low\karima_et_yazid@xiti[1].txt

Trojan.Dropper/Gen
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\APPLICATION DATA\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE
	C:\USERS\KARIMA ET YAZID\APPDATA\LOCAL\TEMP\RAR$EX00.523\REGSEEKER\REGSEEKER.EXE

Trojan.Unknown Origin
	C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\35326F8FC2784FDC71B585869C9944A8\X86_MICROSOFT-WINDOWS-S..LC-CLIENT.RESOURCES_31BF3856AD364E35_6.0.6000.16509_FR-FR_FCD91316FA622323\SLC.DLL.MUI
	C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\35326F8FC2784FDC71B585869C9944A8\X86_MICROSOFT-WINDOWS-S..LC-CLIENT.RESOURCES_31BF3856AD364E35_6.0.6000.20624_FR-FR_FD480E9813947C1C\SLC.DLL.MUI

il reste encore des saletés ou pas ?
ARAMIS74

pimprenelle27 · Answer

les cookies auraient du être supprimer par ccleaner normalement donc ça pas grave c'est surtout les trojans. suprimer moi tout ce qu'il a trouvé. Merci.


Et fait moi un dernier pour vérif : 

https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

Utilisateur anonyme · Answer

hola ,

les cookies , humm... ça va ça vient ...


# Références de comparaison Bagle MD5 : 

d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 

Bon il y a celui ci à surveiller : d19afc51 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 
1b41356180d52ac46cca5efcbae52c73 C:\Users\KARIMA et YAZID\AppData\Roaming\drivers\winupgro.exe 

t as rien a surveiller ... t as juste a piger ..

aramis74 · Answer

ok je lance cela e tte tiens au courant merci

aramis74 · Answer

voici le rapport panda : 

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-02-18 09:07:44
PROTECTIONS: 2
MALWARE: 4
SUSPECTS: 4
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Windows Defender                             1.1.1505.0                    No        Yes
SUPERAntiSpyware                             4, 25, 0, 1012                No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@xiti[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@smartadserver[2].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Cookies\Low\karima_et_yazid@smartadserver[1].txt
00484705  Application/IEDefender             HackTools           No        0         Yes            No           C:\Users\KARIMA et YAZID\Downloads\SmitfraudFix\IEDFix.C.exe
00593436  W32/Autorun.AQG.worm               Virus/Worm          No        1         No             No           C:\Users\KARIMA et YAZID\Desktop\ComboFix.exe[32788R22FWJFW\List.bat]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              >)&#65533;m&#65533;&#65533;q
39
;===================================================================================================================================================================================
No        C:\Program Files\Passware\ariskkey.dll                                                                                                                                                                                                                                                                                                                                                                                                                                                                                >)&#65533;m&#65533;&#65533;q
39
No        C:\Program Files\Passware\ariskkey.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                >)&#65533;m&#65533;&#65533;q
39
No        C:\Users\KARIMA et YAZID\Downloads\ariskkey.exe[ariskkey.exe]                                                                                                                                                                                                                                                                                                                                                                                                                                                         >)&#65533;m&#65533;&#65533;q
39
No        C:\Users\KARIMA et YAZID\Downloads\ariskkey.exe[ariskkey.dll]                                                                                                                                                                                                                                                                                                                                                                                                                                                         >)&#65533;m&#65533;&#65533;q
39
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                >)&#65533;m&#65533;&#65533;q
39
;===================================================================================================================================================================================
;===================================================================================================================================================================================


j'ai effacé ariskey de mon pc avec eraser, j'attends tres instructions pour voir ce qu'il en, est de mon infection ( le controle des administrateurs est toujours désactivé durant le scan et dois je le réactiver apres)

merci ARAMIS74

pimprenelle27 · Answer

il reste c'est 2 là : 

00484705 Application/IEDefender HackTools No 0 Yes No C:\Users\KARIMA et YAZID\Downloads\SmitfraudFix\IEDFix.C.exe ça c'est normale, il sera supprimé

00593436 W32/Autorun.AQG.worm Virus/Worm No 1 No No C:\Users\KARIMA et YAZID\Desktop\ComboFix.e et ça aussi combofix sera supprimer.

Maintenant un dernier hijackthis pour fixer les lignes et un peu de nettoyage et ce sera fini.

--  
Pensez à mettre vos messages en résolu quand ils le sont. 
Pour ceux qui sont anonyme, pensez à avertir les modos avec le triangle jaune que votre sujet est résolu.
Merci

aramis74 · Answer

voila le rapport hijackthis demandé, par contre j'ai pas trop compris les lignes du dessus du message qui vont etre supprimées ?  

rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:24:04, on 18/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Windows\System32\SysMonitor.exe
C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [????r]  (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [?????????] ??????????????e (User '?')
O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (User '?')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin
pjpi142_19.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_19\bin
pjpi142_19.dll
O13 - Gopher Prefix: 
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4-windows-i586.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe (file missing)
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

pimprenelle27 · Answer

Tu relance hijackthis, mais là tu clique juste sur faire un scan, ensuite tu sélectionne les lignes puis,

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [?????????] ??????????????e

O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [????r] (User '?')

O4 - HKUS\S-1-5-21-598018020-551376951-3056779451-1000\..\Run: [?????????] ??????????????e (User '?')

Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarres l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte )


Ensuite les 2 fichiers détecté par panda seront supprimé avec ceci : 

Télécharge Toolscleaner sur ton Bureau :

* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

aramis74 · Answer

voici le rapport : 

[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\KARIMA et YAZID\AppData\Local\VirtualStore\Program Files\FindyKill: trouvé !
C:\Users\KARIMA et YAZID\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\KARIMA et YAZID\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\KARIMA et YAZID\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\KARIMA et YAZID\Desktop\HijackThis.lnk: trouvé !
C:\Users\KARIMA et YAZID\Desktop\ComboFix.exe: trouvé !
C:\Users\KARIMA et YAZID\Desktop\MP3\hijackthis.log: trouvé !
C:\Users\KARIMA et YAZID\Desktop\MP3\FindyKill.txt: trouvé !
C:\Users\KARIMA et YAZID\Downloads\GenProc.zip: trouvé !
C:\Users\KARIMA et YAZID\Downloads\HJTInstall.exe: trouvé !
C:\Users\KARIMA et YAZID\Downloads\SmitFraudfix: trouvé !
C:\Users\KARIMA et YAZID\Downloads\GenProc: trouvé !
C:\Users\KARIMA et YAZID\Downloads\GenProc\Page\GenProc[*].html: trouvé !
C:\Windows\msnfix.txt: trouvé !
C:\Windows\System32\config\systemprofile\Desktop\FindyKill.txt: trouvé !

d'après toi suis je désinfecté pour de bon ?
les logiciels que tu m'as demandé de télécharger pour m'aider dois je les garder ou les effacer de mon ordi ?
je garde avira antivir a la place de Avast, et je peux le coupler a Super antispyware. Merci pour ton aide et tes réponses a mes questions.

ARAMIS74

pimprenelle27 · Answer

tools cleaner, sert à supprimer les logiciels utilisé pour te désinfecté, donc plus rien, tu peux supprimer tout ce qu'il a trouvé.

pimprenelle27 · Answer

avast c'est pas terrible, ensuite sas tu peux le garder ainsi que malware. ensuite dans le rapport précèdent il y a des erreurs de suppression donc il faudra les supprimer manuellement le logiciels.

pimprenelle27 · Answer

oui.

micka5770 · Answer

je te conseil eset nod 32 smart security n'installe pas de logiciel soye disant qui desinfecte les beagles ou autre

gen-hackman · Answer

bonjour excusez-moi j'aurais bien passé MSNFix moi 

cordialement

gen-hackman · Answer

O4 - HKCU\..\Run: [?????????] ??????????????

ceci a ete fixé mais l'infection est peut etre encore presente :)

gen-hackman · Answer

de plus tu as dit plus haut avoir des problemes avec msn

donc pour en etre sur :

telecharge MSNfix :

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/43103.html

fais l option "R" attends la fin du scan et si infection presente fais l option nettoyage 

une fois terminé envoie le rapport

gen-hackman · Answer

ca depend de c eque tu as sur le pc :)

gen-hackman · Answer

faut le temps...y'a des scans(rogue remover) qui durent 1/2 s 

et d autres comme (Mbam en sans echec qui peuvent durer j'usqu'a 12 heuures)

gen-hackman · Answer

dans C:\ il me semble

gen-hackman · Answer

si je peux connaitre les messages d erreur que ca dit.....

gen-hackman · Answer

marche pas bonjour

:(

mess d'erreur = 0x800xxxxx   ?

Infecté par bagle je crois HELP

59 réponses

Votre réponse

Discussions similaires

Newsletters