Au secours! Virus "intelligent"
joecool
-
Redbart Messages postés 22263 Statut Membre -
Redbart Messages postés 22263 Statut Membre -
Bonsoir à tous les membres du forum.
Depuis un certain temps, je suis confronté à diverses problèmes dans mon pc.
Je pense que le problème viendrait d'un virus et bienvenue les écrans bleus.
A la suite, j'ai formaté la machine puis j'ai installé Windows XP SP3 sur deux partitions.
A ma grande surprise, les mêmes symptômes du virus sont toujours là.
Quelques remarques sur le virus:
*exécution récurrente de processus malsains sous diverses noms; à chaque fois que j'arrête
l'exécution d'un processus malsain, quelques instants après un autre processus est lancé.
*impossibilité de lancer le mode sans échec; après l'infection, je n'arrive plus à accéder au mode
sans échec avec la partition principale.
*affichage d'écrans bleus (éventuellement).
*impossibilité d'installer correctement un antivirus.
*dysfonctionnement de plusieurs programmes notamment de l'antivirus (éventuellement).
*masquage des fichiers cachés; en effet, si je désactive le masquage des fichiers cachés pour
pouvoir supprimer des virus manuellement, cette option est réactivée.
*les processus malsains sont lancés pour ceux que je connais depuis:
C:\Documents and Settings\<nom_utilisateur>\Local Settings\Temp
Merci d'avance
Depuis un certain temps, je suis confronté à diverses problèmes dans mon pc.
Je pense que le problème viendrait d'un virus et bienvenue les écrans bleus.
A la suite, j'ai formaté la machine puis j'ai installé Windows XP SP3 sur deux partitions.
A ma grande surprise, les mêmes symptômes du virus sont toujours là.
Quelques remarques sur le virus:
*exécution récurrente de processus malsains sous diverses noms; à chaque fois que j'arrête
l'exécution d'un processus malsain, quelques instants après un autre processus est lancé.
*impossibilité de lancer le mode sans échec; après l'infection, je n'arrive plus à accéder au mode
sans échec avec la partition principale.
*affichage d'écrans bleus (éventuellement).
*impossibilité d'installer correctement un antivirus.
*dysfonctionnement de plusieurs programmes notamment de l'antivirus (éventuellement).
*masquage des fichiers cachés; en effet, si je désactive le masquage des fichiers cachés pour
pouvoir supprimer des virus manuellement, cette option est réactivée.
*les processus malsains sont lancés pour ceux que je connais depuis:
C:\Documents and Settings\<nom_utilisateur>\Local Settings\Temp
Merci d'avance
A voir également:
- Au secours! Virus "intelligent"
- Virus mcafee - Accueil - Piratage
- Télécharger intelligent cv pour pc - Télécharger - Emploi & CV
- Virus facebook demande d'amis - Accueil - Facebook
- Comment activer étui intelligent samsung - Forum Samsung
- Faux message virus iphone ✓ - Forum Virus
23 réponses
je suppose que tu n'as aucun logiciel de protection?
joecool
J'avais Avira antivirus et Spybot Search and Destroy.
pourquoi "j'avais"??
installe ce pare feu et uniquement le gratuit pour complèter la sécurité du pc
https://www.zonealarm.com/software/free-firewall
fait le mises à jour de l'AV et ASW et scan ton pc (n'oublie pas d'activer l'anti rootkits dans Avira)
en plus installe MBAM mets à jour et fait un scan complet
https://download.cnet.com/3001-8022_4-10804572.html?spi=c5fd19f8870ab3a6240d5026fb95fddc&part=dl-10804572
- peut nécessiter un redémarrage
post les rapports si possible
installe ce pare feu et uniquement le gratuit pour complèter la sécurité du pc
https://www.zonealarm.com/software/free-firewall
fait le mises à jour de l'AV et ASW et scan ton pc (n'oublie pas d'activer l'anti rootkits dans Avira)
en plus installe MBAM mets à jour et fait un scan complet
https://download.cnet.com/3001-8022_4-10804572.html?spi=c5fd19f8870ab3a6240d5026fb95fddc&part=dl-10804572
- peut nécessiter un redémarrage
post les rapports si possible
un virus ne peu s'attaquer à un anti virus ce sont plutôt des troyens ou vers, spybot ou mbam devrait les détecter
en cas de non réussite
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
installe HJT, suis le tuto, mais ne modifie rien sur HJT
fait un scan et post le ici
en cas de non réussite
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
installe HJT, suis le tuto, mais ne modifie rien sur HJT
fait un scan et post le ici
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:51, on 06/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
E:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\diocool\LOCALS~1\Temp\hqkgsr.exe
C:\DOCUME~1\diocool\LOCALS~1\Temp\winbfub.exe
C:\Documents and Settings\diocool\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scanner avec Dr.Web - http://www.drweb.com/online/drweb-online-fr.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - Unknown owner - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe (file missing)
Scan saved at 20:21:51, on 06/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
E:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\diocool\LOCALS~1\Temp\hqkgsr.exe
C:\DOCUME~1\diocool\LOCALS~1\Temp\winbfub.exe
C:\Documents and Settings\diocool\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scanner avec Dr.Web - http://www.drweb.com/online/drweb-online-fr.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - Unknown owner - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe (file missing)
voila les coupables :
C:\DOCUME~1\diocool\LOCALS~1\Temp\hqkgsr.exe
C:\DOCUME~1\diocool\LOCALS~1\Temp\winbfub.exe
il doit jamais y avoir de .exe dans c:\mes documents, c la preuve d'une infection
ces exe ne correspondent à rien, ce sont des noms aléatoires
installe mbam, mets à jour et scan complet, puis supprime ce qu'il trouve
post le rapport
C:\DOCUME~1\diocool\LOCALS~1\Temp\hqkgsr.exe
C:\DOCUME~1\diocool\LOCALS~1\Temp\winbfub.exe
il doit jamais y avoir de .exe dans c:\mes documents, c la preuve d'une infection
ces exe ne correspondent à rien, ce sont des noms aléatoires
installe mbam, mets à jour et scan complet, puis supprime ce qu'il trouve
post le rapport
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'avais lu la dernière ligne, mais tu ne parles pas des .exe , ni que tu as fait un scan avec mbam, ni que "PC Tools AntiVirus Engine" traine sur ton pc, ni si tu as fait un scan avec spybot ou vacciné ton pc....enfin installé un parefeu, donc moi je part sur des suppositions
décris les "processus malsains" stp
décris les "processus malsains" stp
utilise combofix, ATTENTION à suivre parfaitement la procédure :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
*exécution récurrente de processus malsains sous diverses noms; à chaque fois que j'arrête
l'exécution d'un processus malsain, quelques instants après un autre processus est lancé.
*impossibilité de lancer le mode sans échec; après l'infection, je n'arrive plus à accéder au mode
sans échec avec la partition principale.
*affichage d'écrans bleus (éventuellement).
*impossibilité d'installer correctement un antivirus.
*dysfonctionnement de plusieurs programmes notamment de l'antivirus (éventuellement).
*masquage des fichiers cachés; en effet, si je désactive le masquage des fichiers cachés pour
pouvoir supprimer des virus manuellement, cette option est réactivée.
*les processus malsains sont lancés pour ceux que je connais depuis:
C:\Documents and Settings\<nom_utilisateur>\Local Settings\Temp
l'exécution d'un processus malsain, quelques instants après un autre processus est lancé.
*impossibilité de lancer le mode sans échec; après l'infection, je n'arrive plus à accéder au mode
sans échec avec la partition principale.
*affichage d'écrans bleus (éventuellement).
*impossibilité d'installer correctement un antivirus.
*dysfonctionnement de plusieurs programmes notamment de l'antivirus (éventuellement).
*masquage des fichiers cachés; en effet, si je désactive le masquage des fichiers cachés pour
pouvoir supprimer des virus manuellement, cette option est réactivée.
*les processus malsains sont lancés pour ceux que je connais depuis:
C:\Documents and Settings\<nom_utilisateur>\Local Settings\Temp
ComboFix 09-03-04.01 - diocool 2009-03-06 22:22:32.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.317.178 [GMT 0:00]
Lancé depuis: c:\documents and settings\diocool\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-06 au 2009-03-06 ))))))))))))))))))))))))))))))))))))
.
2009-03-06 00:00 . 2009-03-06 00:00 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-05 21:27 . 2007-05-30 18:49 24,344 --a------ c:\windows\system32\drivers\klim5.sys
2009-03-05 19:40 . 2009-03-05 19:40 <REP> d---s---- c:\documents and settings\Family\UserData
2009-03-05 01:04 . 2009-03-06 20:23 13,030 --a------ C:\PDOXUSRS.NET
2009-03-05 01:03 . 1999-01-20 05:01 210,032 --a------ c:\windows\system32\DBCLIENT.DLL
2009-03-05 01:03 . 1999-11-12 05:11 183,808 --a------ c:\windows\system32\BDEADMIN.CPL
2009-03-05 01:01 . 2009-03-05 01:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-05 01:01 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-05 01:01 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-03 23:32 . 2009-03-03 23:35 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-03-03 23:15 . 2009-03-04 10:32 <REP> d-------- c:\program files\NOS
2009-03-03 23:15 . 2009-03-04 10:32 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS
2009-03-03 17:15 . 2009-03-03 17:16 <REP> d-------- c:\program files\EasyPHP 2.0b1
2009-03-03 00:23 . 2009-03-03 00:23 <REP> d-------- c:\documents and settings\All Users\Application Data\MySQL
2009-03-02 18:52 . 2009-03-02 18:52 <REP> d-------- c:\documents and settings\Family\DoctorWeb
2009-03-02 15:17 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-03-02 15:12 . 2009-03-02 15:12 <REP> d-------- c:\program files\Microsoft.NET
2009-03-02 15:08 . 2009-03-02 15:12 <REP> d-------- c:\windows\SHELLNEW
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\system32\fr-fr
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\system32\fr
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\system32\bits
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\l2schemas
2009-03-02 11:31 . 2009-03-02 11:40 <REP> d-------- c:\windows\ServicePackFiles
2009-03-02 00:36 . 2009-03-02 15:18 497 --a------ c:\windows\ODBC.INI
2009-03-02 00:02 . 2009-03-02 00:02 124,688 --a------ c:\windows\system32\MSWINSCK.OCX
2009-03-01 23:23 . 2009-03-01 23:23 <REP> d-------- c:\program files\SuperCopier2
2009-03-01 22:52 . 2009-03-06 22:35 <REP> d-------- c:\program files\DNA
2009-03-01 22:52 . 2009-03-01 22:52 <REP> d-------- c:\program files\BitTorrent
2009-02-28 23:24 . 2009-02-28 23:24 <REP> d-------- c:\program files\MyPlayCity.com
2009-02-28 23:14 . 2009-03-05 02:18 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-28 23:14 . 2009-03-05 00:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-28 20:33 . 2009-02-28 20:33 <REP> d-------- c:\program files\realtech VR
2009-02-28 18:44 . 2009-02-28 18:44 253,952 --------- c:\windows\Setup1.exe
2009-02-28 18:44 . 2009-02-28 18:44 74,752 --a------ c:\windows\ST6UNST.EXE
2009-02-28 13:42 . 2008-04-11 19:05 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-28 13:30 . 2009-02-28 13:30 <REP> d-------- c:\program files\Fichiers communs\DirectX
2009-02-28 01:00 . 2004-08-04 00:38 701,440 --------- c:\windows\system32\drivers\ati2mtag.sys
2009-02-27 22:27 . 2009-02-27 22:27 <REP> d-------- c:\program files\ReflexiveArcade
2009-02-27 21:20 . 2008-12-12 17:02 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-02-27 21:20 . 2008-10-16 01:01 1,499,648 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-02-27 21:20 . 2008-10-16 01:01 670,208 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-02-27 21:20 . 2008-10-16 01:01 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-02-27 21:14 . 2008-06-14 17:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
2009-02-27 21:14 . 2008-06-14 17:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-26 14:15 . 2008-09-15 15:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-26 14:14 . 2008-08-14 13:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-26 14:14 . 2008-08-14 13:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-26 14:14 . 2008-08-14 13:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-26 14:14 . 2008-08-14 13:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-26 13:26 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Family\Voisinage réseau
2009-02-26 13:26 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Family\Voisinage d'impression
2009-02-26 13:26 . 2009-02-23 22:54 <REP> d--h----- c:\documents and settings\Family\Modèles
2009-02-26 13:26 . 2009-03-03 19:04 <REP> dr------- c:\documents and settings\Family\Mes documents
2009-02-26 13:26 . 2009-02-28 23:24 <REP> dr------- c:\documents and settings\Family\Menu Démarrer
2009-02-26 13:26 . 2009-03-03 18:51 <REP> dr------- c:\documents and settings\Family\Favoris
2009-02-26 13:26 . 2009-03-04 14:27 <REP> d-------- c:\documents and settings\Family\Bureau
2009-02-26 13:26 . 2009-03-05 19:40 <REP> d-------- c:\documents and settings\Family
2009-02-26 00:44 . 2008-10-24 11:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-26 00:44 . 2008-05-08 14:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-02-26 00:43 . 2008-12-11 10:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-26 00:32 . 2009-03-04 19:13 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-02-26 00:32 . 2009-02-25 23:48 29,688,176 --a------ c:\windows\avinstall.exe
2009-02-26 00:30 . 2009-03-05 00:42 <REP> d-------- c:\program files\PC Tools AntiVirus
2009-02-26 00:30 . 2009-02-26 00:30 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2009-02-26 00:22 . 2008-10-15 16:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-26 00:06 . 2009-03-03 16:26 <REP> d--h----- c:\windows\$hf_mig$
2009-02-26 00:06 . 2007-08-10 08:18 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-02-25 23:51 . 2009-02-25 23:51 <REP> d-------- c:\documents and settings\diocool\DoctorWeb
2009-02-25 00:31 . 2009-02-25 23:48 29,688,176 --a------ c:\program files\avinstall.exe
2009-02-25 00:23 . 2009-02-25 00:23 174 --a------ c:\windows\drweb-online-fr.reg
2009-02-24 01:55 . 2009-02-24 01:55 0 --a------ c:\windows\nsreg.dat
2009-02-24 01:33 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-24 01:33 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-24 01:33 . 2009-02-23 22:54 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-24 01:33 . 2009-02-23 22:29 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-02-24 01:33 . 2009-02-23 22:29 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-24 01:33 . 2009-02-24 01:39 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-02-24 01:33 . 2009-02-24 01:52 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-24 01:33 . 2009-02-24 01:33 <REP> d-------- c:\documents and settings\Administrateur
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 23:09 --------- d-----w c:\program files\microsoft frontpage
2009-02-23 23:04 --------- d-----w c:\program files\Services en ligne
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-03-01 321344]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 112496]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Documents and Settings\\diocool\\Bureau\\Wubi-8.04.1-rev506.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Program Files\\SuperCopier2\\SuperCopier2.exe"=
"c:\\Program Files\\EasyPHP 2.0b1\\EasyPHP.exe"=
"e:\\Program Files\\Malwarebytes' Anti-Malware\\mbamgui.exe"=
"c:\\Documents and Settings\\diocool\\Bureau\\HiJackThis.exe"=
"e:\\Program Files\\Unlocker\\Unlocker.exe"=
"c:\\DOCUME~1\\Family\\LOCALS~1\\Temp\\mrbtaa.exe"=
"c:\\DOCUME~1\\Family\\LOCALS~1\\Temp\\winmmbat.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\ComboFix\\NirCmdC.cfexe"=
"c:\\ComboFix\\NirCmd.cfexe"=
"c:\\DOCUME~1\\diocool\\LOCALS~1\\Temp\\winwtay.exe"=
"c:\\DOCUME~1\\diocool\\LOCALS~1\\Temp\\lykxj.exe"=
S4 MySQL5;MySQL5;"c:\program files\EasyPHP 3.0\mysql\bin\mysqld-nt" --defaults-file="c:\program files\EasyPHP 3.0\mysql\my.ini" MySQL5 --> c:\program files\EasyPHP 3.0\mysql\bin\mysqld-nt [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ASC3360PR
*Deregistered* - mchInjDrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5828fd10-0213-11de-93b7-b1b3e2319a7f}]
\sHeLl\AutoplaY\COMmAnd - mbfgk.pif
\sHeLl\AutoRun\command - mbfgk.pif
\sHeLl\exPloRe\cOMMaNd - mbfgk.pif
\sHeLl\oPEn\COMmanD - mbfgk.pif
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
.
------- Examen supplémentaire -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Scanner avec Dr.Web - http://www.drweb.com/online/drweb-online-fr.html
LSP: c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\diocool\Application Data\Mozilla\Firefox\Profiles\9ibv1zxv.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-06 22:35:57
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\diocool\LOCALS~1\Temp\mc21.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySQL]
"ImagePath"="\"c:\program files\EasyPHP 3.0\mysql\MySQL 6.0\bin\mysqld\" --defaults-file=\"c:\program files\EasyPHP 3.0\mysql\MySQL 6.0\my.ini\" MySQL"
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySQL5]
"ImagePath"="\"c:\program files\EasyPHP 3.0\mysql\bin\mysqld-nt\" --defaults-file=\"c:\program files\EasyPHP 3.0\mysql\my.ini\" MySQL5"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(820)
c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
- - - - - - - > 'explorer.exe'(2856)
c:\program files\SuperCopier2\SC2Hook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\wscntfy.exe
c:\docume~1\diocool\LOCALS~1\Temp\winwtay.exe
c:\docume~1\diocool\LOCALS~1\Temp\lykxj.exe
.
**************************************************************************
.
Heure de fin: 2009-03-06 22:42:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-06 22:42:02
Avant-CF: 657 149 952 octets libres
Après-CF: 603,824,128 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Expert [diocool]" /noexecute=optin /fastdetect
202 --- E O F --- 2009-03-05 21:27:09
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.317.178 [GMT 0:00]
Lancé depuis: c:\documents and settings\diocool\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-06 au 2009-03-06 ))))))))))))))))))))))))))))))))))))
.
2009-03-06 00:00 . 2009-03-06 00:00 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-05 21:27 . 2007-05-30 18:49 24,344 --a------ c:\windows\system32\drivers\klim5.sys
2009-03-05 19:40 . 2009-03-05 19:40 <REP> d---s---- c:\documents and settings\Family\UserData
2009-03-05 01:04 . 2009-03-06 20:23 13,030 --a------ C:\PDOXUSRS.NET
2009-03-05 01:03 . 1999-01-20 05:01 210,032 --a------ c:\windows\system32\DBCLIENT.DLL
2009-03-05 01:03 . 1999-11-12 05:11 183,808 --a------ c:\windows\system32\BDEADMIN.CPL
2009-03-05 01:01 . 2009-03-05 01:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-05 01:01 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-05 01:01 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-03 23:32 . 2009-03-03 23:35 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-03-03 23:15 . 2009-03-04 10:32 <REP> d-------- c:\program files\NOS
2009-03-03 23:15 . 2009-03-04 10:32 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS
2009-03-03 17:15 . 2009-03-03 17:16 <REP> d-------- c:\program files\EasyPHP 2.0b1
2009-03-03 00:23 . 2009-03-03 00:23 <REP> d-------- c:\documents and settings\All Users\Application Data\MySQL
2009-03-02 18:52 . 2009-03-02 18:52 <REP> d-------- c:\documents and settings\Family\DoctorWeb
2009-03-02 15:17 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-03-02 15:12 . 2009-03-02 15:12 <REP> d-------- c:\program files\Microsoft.NET
2009-03-02 15:08 . 2009-03-02 15:12 <REP> d-------- c:\windows\SHELLNEW
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\system32\fr-fr
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\system32\fr
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\system32\bits
2009-03-02 11:38 . 2009-03-02 11:38 <REP> d-------- c:\windows\l2schemas
2009-03-02 11:31 . 2009-03-02 11:40 <REP> d-------- c:\windows\ServicePackFiles
2009-03-02 00:36 . 2009-03-02 15:18 497 --a------ c:\windows\ODBC.INI
2009-03-02 00:02 . 2009-03-02 00:02 124,688 --a------ c:\windows\system32\MSWINSCK.OCX
2009-03-01 23:23 . 2009-03-01 23:23 <REP> d-------- c:\program files\SuperCopier2
2009-03-01 22:52 . 2009-03-06 22:35 <REP> d-------- c:\program files\DNA
2009-03-01 22:52 . 2009-03-01 22:52 <REP> d-------- c:\program files\BitTorrent
2009-02-28 23:24 . 2009-02-28 23:24 <REP> d-------- c:\program files\MyPlayCity.com
2009-02-28 23:14 . 2009-03-05 02:18 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-28 23:14 . 2009-03-05 00:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-28 20:33 . 2009-02-28 20:33 <REP> d-------- c:\program files\realtech VR
2009-02-28 18:44 . 2009-02-28 18:44 253,952 --------- c:\windows\Setup1.exe
2009-02-28 18:44 . 2009-02-28 18:44 74,752 --a------ c:\windows\ST6UNST.EXE
2009-02-28 13:42 . 2008-04-11 19:05 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-28 13:30 . 2009-02-28 13:30 <REP> d-------- c:\program files\Fichiers communs\DirectX
2009-02-28 01:00 . 2004-08-04 00:38 701,440 --------- c:\windows\system32\drivers\ati2mtag.sys
2009-02-27 22:27 . 2009-02-27 22:27 <REP> d-------- c:\program files\ReflexiveArcade
2009-02-27 21:20 . 2008-12-12 17:02 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-02-27 21:20 . 2008-10-16 01:01 1,499,648 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-02-27 21:20 . 2008-10-16 01:01 670,208 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-02-27 21:20 . 2008-10-16 01:01 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-02-27 21:14 . 2008-06-14 17:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
2009-02-27 21:14 . 2008-06-14 17:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-26 14:15 . 2008-09-15 15:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-26 14:14 . 2008-08-14 13:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-26 14:14 . 2008-08-14 13:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-26 14:14 . 2008-08-14 13:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-26 14:14 . 2008-08-14 13:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-26 13:26 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Family\Voisinage réseau
2009-02-26 13:26 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Family\Voisinage d'impression
2009-02-26 13:26 . 2009-02-23 22:54 <REP> d--h----- c:\documents and settings\Family\Modèles
2009-02-26 13:26 . 2009-03-03 19:04 <REP> dr------- c:\documents and settings\Family\Mes documents
2009-02-26 13:26 . 2009-02-28 23:24 <REP> dr------- c:\documents and settings\Family\Menu Démarrer
2009-02-26 13:26 . 2009-03-03 18:51 <REP> dr------- c:\documents and settings\Family\Favoris
2009-02-26 13:26 . 2009-03-04 14:27 <REP> d-------- c:\documents and settings\Family\Bureau
2009-02-26 13:26 . 2009-03-05 19:40 <REP> d-------- c:\documents and settings\Family
2009-02-26 00:44 . 2008-10-24 11:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-26 00:44 . 2008-05-08 14:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-02-26 00:43 . 2008-12-11 10:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-26 00:32 . 2009-03-04 19:13 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-02-26 00:32 . 2009-02-25 23:48 29,688,176 --a------ c:\windows\avinstall.exe
2009-02-26 00:30 . 2009-03-05 00:42 <REP> d-------- c:\program files\PC Tools AntiVirus
2009-02-26 00:30 . 2009-02-26 00:30 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2009-02-26 00:22 . 2008-10-15 16:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-26 00:06 . 2009-03-03 16:26 <REP> d--h----- c:\windows\$hf_mig$
2009-02-26 00:06 . 2007-08-10 08:18 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-02-25 23:51 . 2009-02-25 23:51 <REP> d-------- c:\documents and settings\diocool\DoctorWeb
2009-02-25 00:31 . 2009-02-25 23:48 29,688,176 --a------ c:\program files\avinstall.exe
2009-02-25 00:23 . 2009-02-25 00:23 174 --a------ c:\windows\drweb-online-fr.reg
2009-02-24 01:55 . 2009-02-24 01:55 0 --a------ c:\windows\nsreg.dat
2009-02-24 01:33 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-24 01:33 . 2009-02-23 22:29 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-24 01:33 . 2009-02-23 22:54 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-24 01:33 . 2009-02-23 22:29 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-02-24 01:33 . 2009-02-23 22:29 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-24 01:33 . 2009-02-24 01:39 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-02-24 01:33 . 2009-02-24 01:52 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-24 01:33 . 2009-02-24 01:33 <REP> d-------- c:\documents and settings\Administrateur
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 23:09 --------- d-----w c:\program files\microsoft frontpage
2009-02-23 23:04 --------- d-----w c:\program files\Services en ligne
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-03-01 321344]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 112496]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Documents and Settings\\diocool\\Bureau\\Wubi-8.04.1-rev506.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Program Files\\SuperCopier2\\SuperCopier2.exe"=
"c:\\Program Files\\EasyPHP 2.0b1\\EasyPHP.exe"=
"e:\\Program Files\\Malwarebytes' Anti-Malware\\mbamgui.exe"=
"c:\\Documents and Settings\\diocool\\Bureau\\HiJackThis.exe"=
"e:\\Program Files\\Unlocker\\Unlocker.exe"=
"c:\\DOCUME~1\\Family\\LOCALS~1\\Temp\\mrbtaa.exe"=
"c:\\DOCUME~1\\Family\\LOCALS~1\\Temp\\winmmbat.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\ComboFix\\NirCmdC.cfexe"=
"c:\\ComboFix\\NirCmd.cfexe"=
"c:\\DOCUME~1\\diocool\\LOCALS~1\\Temp\\winwtay.exe"=
"c:\\DOCUME~1\\diocool\\LOCALS~1\\Temp\\lykxj.exe"=
S4 MySQL5;MySQL5;"c:\program files\EasyPHP 3.0\mysql\bin\mysqld-nt" --defaults-file="c:\program files\EasyPHP 3.0\mysql\my.ini" MySQL5 --> c:\program files\EasyPHP 3.0\mysql\bin\mysqld-nt [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ASC3360PR
*Deregistered* - mchInjDrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5828fd10-0213-11de-93b7-b1b3e2319a7f}]
\sHeLl\AutoplaY\COMmAnd - mbfgk.pif
\sHeLl\AutoRun\command - mbfgk.pif
\sHeLl\exPloRe\cOMMaNd - mbfgk.pif
\sHeLl\oPEn\COMmanD - mbfgk.pif
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
.
------- Examen supplémentaire -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Scanner avec Dr.Web - http://www.drweb.com/online/drweb-online-fr.html
LSP: c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\diocool\Application Data\Mozilla\Firefox\Profiles\9ibv1zxv.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-06 22:35:57
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\diocool\LOCALS~1\Temp\mc21.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySQL]
"ImagePath"="\"c:\program files\EasyPHP 3.0\mysql\MySQL 6.0\bin\mysqld\" --defaults-file=\"c:\program files\EasyPHP 3.0\mysql\MySQL 6.0\my.ini\" MySQL"
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySQL5]
"ImagePath"="\"c:\program files\EasyPHP 3.0\mysql\bin\mysqld-nt\" --defaults-file=\"c:\program files\EasyPHP 3.0\mysql\my.ini\" MySQL5"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'lsass.exe'(820)
c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
- - - - - - - > 'explorer.exe'(2856)
c:\program files\SuperCopier2\SC2Hook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\wscntfy.exe
c:\docume~1\diocool\LOCALS~1\Temp\winwtay.exe
c:\docume~1\diocool\LOCALS~1\Temp\lykxj.exe
.
**************************************************************************
.
Heure de fin: 2009-03-06 22:42:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-06 22:42:02
Avant-CF: 657 149 952 octets libres
Après-CF: 603,824,128 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Expert [diocool]" /noexecute=optin /fastdetect
202 --- E O F --- 2009-03-05 21:27:09
"A la suite, j'ai formaté la machine puis j'ai installé Windows XP SP3 sur deux partitions. "
ceci est impossible
"multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Expert [diocool]" /noexecute=optin /fastdetect "
tu as 2 xp sur ton pc, lequel n'est pas piraté (corrompu)??? avec lequel travailles tu?
quels sont les différences?
ceci est impossible
"multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Expert [diocool]" /noexecute=optin /fastdetect "
tu as 2 xp sur ton pc, lequel n'est pas piraté (corrompu)??? avec lequel travailles tu?
quels sont les différences?
et le scan avec l'antivirus russe n'a rien donné?
puisque ton infection résiste, on continu le nettoyage :
Télécharge Navilog1 (de IL-MAFIOSO) sur le bureau http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
- Double clic sur Navilog1.exe afin de lancer l'installation
- Si le fix ne lance pas automatiquement après son installation, double clic sur navilog1 présent sur le bureau.
- Appuie sur F ou f valide par Entrée
- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options
- Choisis l'option 1 appuie sur la touche Entrée pour valider ton choix.
- Patiente jusqu'au message :
*** Analyse Termine le ..... ***
- Le scan fini un rapport portant le nom de fixnavi.txt sera affiché, ferme toute les fenêtres.
- Double clique à nouveau sur navilog1 pour relancer le fix, choisi l’option 2
- Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
-Le bloc note va s'ouvrir avec un rapport, referme le bloc note. Ton bureau va réapparaître
PS : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus", clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau
Note : Désactive ton Antivirus et antispyware avant le scan avec Navilog1
https://forum.pcastuces.com/default.asp
Aide : http://www.malekal.com/Adware.Magic_Control.php
Poste le rapport qui ce trouve à la racine de ton disque C:\ cleannavi.txt.
puisque ton infection résiste, on continu le nettoyage :
Télécharge Navilog1 (de IL-MAFIOSO) sur le bureau http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
- Double clic sur Navilog1.exe afin de lancer l'installation
- Si le fix ne lance pas automatiquement après son installation, double clic sur navilog1 présent sur le bureau.
- Appuie sur F ou f valide par Entrée
- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options
- Choisis l'option 1 appuie sur la touche Entrée pour valider ton choix.
- Patiente jusqu'au message :
*** Analyse Termine le ..... ***
- Le scan fini un rapport portant le nom de fixnavi.txt sera affiché, ferme toute les fenêtres.
- Double clique à nouveau sur navilog1 pour relancer le fix, choisi l’option 2
- Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
-Le bloc note va s'ouvrir avec un rapport, referme le bloc note. Ton bureau va réapparaître
PS : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus", clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau
Note : Désactive ton Antivirus et antispyware avant le scan avec Navilog1
https://forum.pcastuces.com/default.asp
Aide : http://www.malekal.com/Adware.Magic_Control.php
Poste le rapport qui ce trouve à la racine de ton disque C:\ cleannavi.txt.
Search Navipromo version 3.7.5 commencé le 08/03/2009 à 14:36:49,31
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Processeur Intel Pentium III )
BIOS : PhoenixBIOS 4.0 Release 6.0
USER : diocool ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:8 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:6 Go)
E:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
F:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche Programmes installés ***
Favorit
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\diocool\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Family\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\diocool\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Family\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\diocool\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Family\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\diocool\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\Family\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-33B0F5F9.pf trouvé !
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\diocool\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\Family\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 08/03/2009 à 15:11:34,76 ***
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Processeur Intel Pentium III )
BIOS : PhoenixBIOS 4.0 Release 6.0
USER : diocool ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:8 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:6 Go)
E:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
F:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche Programmes installés ***
Favorit
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\diocool\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Family\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\diocool\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Family\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\diocool\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Family\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\diocool\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\Family\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-33B0F5F9.pf trouvé !
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\diocool\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\Family\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 08/03/2009 à 15:11:34,76 ***
Tu as mis 2 XP sp3 sur 1 pc EEE avec un PIII !!!!
dsl, là il faut t'adresser à un autre niveau...
"Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Processeur Intel Pentium III )
BIOS : PhoenixBIOS 4.0 Release 6.0
USER : diocool ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:8 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:6 Go)
E:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
F:\ (CD or DVD) "
dsl, là il faut t'adresser à un autre niveau...
"Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Processeur Intel Pentium III )
BIOS : PhoenixBIOS 4.0 Release 6.0
USER : diocool ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:8 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:6 Go)
E:\ (Local Disk) - NTFS - Total:3 Go (Free:0 Go)
F:\ (CD or DVD) "
de rapport direct certes non, mais un proc. surchargé, un DD archi plein et une méconnaissance des capacités des divers logiciels l'empêche d'installer les protections adéquates
Je te remercie d'apporter la solution à joecool
Je te remercie d'apporter la solution à joecool
https://www.broadcom.com/support/security-center
je suis étonné qu'avira a laissé passer ce virus, mais moins quand je ne trouve pas avira dans HJT
je suis étonné qu'avira a laissé passer ce virus, mais moins quand je ne trouve pas avira dans HJT
Salu,
"Je te remercie d'apporter la solution à joecool"
de nada
je vais pas tirer d'un mauvais pas un mec qui est incapable de voir qu'il n'y a pas d'infection navipromo et qui est incapable de voir une vraie infection.
Débrouille toi, la prochaine fois, ça t'évitera peut être de venir démontrer ton incompétence.
"Je te remercie d'apporter la solution à joecool"
de nada
je vais pas tirer d'un mauvais pas un mec qui est incapable de voir qu'il n'y a pas d'infection navipromo et qui est incapable de voir une vraie infection.
Débrouille toi, la prochaine fois, ça t'évitera peut être de venir démontrer ton incompétence.
perso, je ne suis pas dans un mauvais pas, c joecool...
le but du forum est que chacun apporte ces compétences
http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityh.html
https://www.broadcom.com/support/security-center
http://www.malekal.com//Sality.php
sality est connu depuis 2003 si "pc tools antivirus" et dr_web antivirus" ne le détecte pas, c'est qu'il sont vraiment mauvais
FIN
le but du forum est que chacun apporte ces compétences
http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityh.html
https://www.broadcom.com/support/security-center
http://www.malekal.com//Sality.php
sality est connu depuis 2003 si "pc tools antivirus" et dr_web antivirus" ne le détecte pas, c'est qu'il sont vraiment mauvais
FIN
Salu,
et le mec qui n'est même pas capable de voir une infection connue depuis 2003 dans le rapport d'un outil qu'il a lui même demandé :
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
c'est pas un mauvais ?
et celui qui se tire quand ça commence à chauffer un peu, t'appelle ça comment Redbart ?
====================
joecool, la meilleure solution est le formattage.
Mais il faut que tu le fasses avec rigueur sinon, comme tu as pu le constater, l'infection va repartir.
Là où tu vas sauvegarder tes données personnelles (disque dur externe, disque interne en slave, partition de ton DD interne), il faut qu'il n'y ait absolument aucun fichier .exe et aucun fichier .scr et il vaut mieux qu'il n'y ait ni fichier htm ni html.
Bonne chance.
et le mec qui n'est même pas capable de voir une infection connue depuis 2003 dans le rapport d'un outil qu'il a lui même demandé :
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
c'est pas un mauvais ?
et celui qui se tire quand ça commence à chauffer un peu, t'appelle ça comment Redbart ?
====================
joecool, la meilleure solution est le formattage.
Mais il faut que tu le fasses avec rigueur sinon, comme tu as pu le constater, l'infection va repartir.
Là où tu vas sauvegarder tes données personnelles (disque dur externe, disque interne en slave, partition de ton DD interne), il faut qu'il n'y ait absolument aucun fichier .exe et aucun fichier .scr et il vaut mieux qu'il n'y ait ni fichier htm ni html.
Bonne chance.
Bonjour DePassage.
J'ai formaté l'une des partitions et réinstallé Windows XP SP2. Et c'est là que j'ai fais l'erreur de ne pas tout formater. Je perdais encore quelques programmes et quand je voulais télécharger un antivirus (Norton Antivirus), ce dernier n'arrivait pas à terme. Finalement j'ai utilisé sophos anti-rootkit qui a trouvé plusieurs clés infectées ou défectueuses dans la base de registre. Lors de l'analyse par sophos anti-rootkit, j'avais ouvert le gestionnaire des tâches et je voyais l'exécution de processus malsains une à une; à chaque fois que j'en arrêtais, un autre revenait immédiatement; et quand l'analyse s'est terminé, les processus malsains ne s'exécutaient plus et et j'ai tout supprimé. J'ai relancé le téléchargement et ça a marché. J'ai installé l'antivirus et je suis entrain de scanner toute la machine.
Si tu a bien lu mon premier post, pourrais-tu m'expliquer s'il te plaît ce type d'infection ?
A+
J'ai formaté l'une des partitions et réinstallé Windows XP SP2. Et c'est là que j'ai fais l'erreur de ne pas tout formater. Je perdais encore quelques programmes et quand je voulais télécharger un antivirus (Norton Antivirus), ce dernier n'arrivait pas à terme. Finalement j'ai utilisé sophos anti-rootkit qui a trouvé plusieurs clés infectées ou défectueuses dans la base de registre. Lors de l'analyse par sophos anti-rootkit, j'avais ouvert le gestionnaire des tâches et je voyais l'exécution de processus malsains une à une; à chaque fois que j'en arrêtais, un autre revenait immédiatement; et quand l'analyse s'est terminé, les processus malsains ne s'exécutaient plus et et j'ai tout supprimé. J'ai relancé le téléchargement et ça a marché. J'ai installé l'antivirus et je suis entrain de scanner toute la machine.
Si tu a bien lu mon premier post, pourrais-tu m'expliquer s'il te plaît ce type d'infection ?
A+
merci à M. de passage de m'avoir orienté vers sality
merci à AVG de mettre à disposition des outils gratuits de désinfection
merci à AVG de mettre à disposition des outils gratuits de désinfection
Salu,
l'infection initiale est décrite ici :
https://www.symantec.com?md5=60add80253d090f5b88805ef4b63ecec
Les modifications sur les fichiers systèmes vitaux rendent très compliquée une éradication.
L'affaiblissement des défenses conduit très vite à une surinfection.
Le formatage est la solution la moins coûteuse dès lors qu'on la mène avec soin.
Aujourd'hui, le prix raisonnable des DD externe, l'existence de graveurs de CD en standard et les" Live CD" se conjuguent pour permettre de sauvegarder les données personnelles. Ceci ne change pas les difficultés à réinstaller les applications mais évite les pertes de données.
l'infection initiale est décrite ici :
https://www.symantec.com?md5=60add80253d090f5b88805ef4b63ecec
Les modifications sur les fichiers systèmes vitaux rendent très compliquée une éradication.
L'affaiblissement des défenses conduit très vite à une surinfection.
Le formatage est la solution la moins coûteuse dès lors qu'on la mène avec soin.
Aujourd'hui, le prix raisonnable des DD externe, l'existence de graveurs de CD en standard et les" Live CD" se conjuguent pour permettre de sauvegarder les données personnelles. Ceci ne change pas les difficultés à réinstaller les applications mais évite les pertes de données.
