Sujet Précédent Sujet Suivant

Virus c'est reparti

Fermé
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 - 27 mars 2009 à 19:49
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 - 29 avril 2009 à 01:56
Bonjour,

Je crois avoir rechoppé un bon vieux virus ca faisait longtemps! Car ma machine rame et je ne plus ouvrir certains logiciels tel que msn ou encor mon antivirus bitdefender!
J'ai fait un log hijack ci dessous merci



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:00, on 27/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\program files\relevantknowledge\rlvknlg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Rimk\APPLIC~1\MICROS~1\mstinit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\annalyse\neochrome.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\System32\drivers\esentutl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\DOCUME~1\Rimk\APPLIC~1\MICROS~1\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\cisvc.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\Rimk\LOCALS~1\APPLIC~1\logman.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\Rimk\LOCALS~1\APPLIC~1\logman.exe /waitservice (User 'Default user')
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: RelevantKnowledge - C:\program files\relevantknowledge\rlls.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
A voir également:

45 réponses

Réponse 1 / 45
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 avril 2009 à 21:56
Bonjour à tous les deux,


Je me permets de m'incruster, je recherche frénétiquement des sujets avec le trojan Calac (plus d'infos ici), et il se trouve qu'il y en a un ici. On le voit sur ces lignes du rapport hijackthis :

F3 - REG:win.ini: load=C:\WINDOWS\System32\drivers\esentutl.exe
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\DOCUME~1\Rimk\APPLIC~1\MICROS~1\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\cisvc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\Rimk\LOCALS~1\APPLIC~1\logman.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\Rimk\LOCALS~1\APPLIC~1\logman.exe /waitservice (User 'Default user')


Il faut passer Combofix pour désinfecter, et souvent un script de suppression est nécessaire.

Genereux peux-tu poster un nouveau rapport hijackthis stp ?

Kevin, as-tu un canned speech pour Combofix ? Je te laisse le proposer si les lignes que j'ai cité au dessus sont toujours là ;)


@+

2
Réponse 2 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
27 mars 2009 à 19:51
Salut,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 3 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 19:54
ok je fais ca merci
0
Réponse 4 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 19:59
bon j'ai fait ca et il m'a mi un rapport blanc rien ecrit quedal!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
27 mars 2009 à 20:01
???????????????


tu as quel os ?
0
Réponse 6 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 20:03
je te jure il m'a sorti un log vide je suis sous xp meme mon clavier deconne j'ai l'impression une touche sur deux
0
Réponse 7 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
27 mars 2009 à 20:04
arfffffffffff


un rapport vide ?!!!! c'est pas possible !

retente stp
0
Réponse 8 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 20:06
je te jure j'ai bien le dossier rsit mais avec un log vide je l'ai fait au moins 4 fois!
0
Réponse 9 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
27 mars 2009 à 20:09
tu peux me faire une imprim/ecran stp

met le ici

http://www.cijoint.fr/

passe moi le lien stp
0
Réponse 10 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 20:16
voil j'en ai mis 2
0
Réponse 11 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
27 mars 2009 à 20:17
Ben passe les liens stp
0
Réponse 12 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 20:21
http://www.cijoint.fr/cjlink.php?file=cj200903/cijjHoUrXI.bmp
0
Réponse 13 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
27 mars 2009 à 20:26
arffffffff

mais c'est quoi ce bordel là...


* Télécharge Malwarebytes anti malware
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
Réponse 14 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
27 mars 2009 à 20:28
oui j'ai deja utilisé ce logiciel ecoute je reprend ca demain je dois y allé je post des que c'est fait merci
0
Réponse 15 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
30 mars 2009 à 12:47
salut

bo voila c'est reparti je suis en train de lancer une annalyse avec malwarebytes et j'ai deja 3 elements infectés je poste des que c'est fini
0
Réponse 16 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
30 mars 2009 à 16:27
et voila le rapport :

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1917
Windows 5.1.2600 Service Pack 3

30/03/2009 16:21:36
mbam-log-2009-03-30 (16-21-36).txt

Type de recherche: Examen complet (C:\|K:\|)
Eléments examinés: 126747
Temps écoulé: 56 minute(s), 42 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 23

Processus mémoire infecté(s):
C:\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\program files\relevantknowledge\rlls.dll (Spyware.Marketscore) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\relevantknowledge (Spyware.Marketscore) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cisvc (Backdoor.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\RelevantKnowledge (Spyware.Marketscore) -> Delete on reboot.
C:\WINDOWS\system32\drivers\down (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rimk\Application Data\m (Trojan.Agent) -> Delete on reboot.

Fichier(s) infecté(s):
C:\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> Delete on reboot.
C:\Documents and Settings\Rimk\Application Data\drivers\srosa2.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\Program Files\RelevantKnowledge\rlservice.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E772BEC8-E864-4C24-A9C0-5C8B762EBB42}\RP123\A0027068.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E772BEC8-E864-4C24-A9C0-5C8B762EBB42}\RP123\A0027141.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E772BEC8-E864-4C24-A9C0-5C8B762EBB42}\RP123\A0027217.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E772BEC8-E864-4C24-A9C0-5C8B762EBB42}\RP123\A0028217.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\down\191593.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\down\268953.exe (Trojan.Packed) -> Quarantined and deleted successfully.
C:\Program Files\RelevantKnowledge\rlls.dll (Spyware.Marketscore) -> Delete on reboot.
C:\Program Files\RelevantKnowledge\rloci.bin (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Program Files\RelevantKnowledge\rlph.dll (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Program Files\RelevantKnowledge\rlxf.dll (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rimk\Application Data\m\data.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rimk\Application Data\m\list.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rimk\Application Data\m\srvlist.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rimk\Application Data\Microsoft\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Rimk\Application Data\drivers\winupgro.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Documents and Settings\Rimk\Application Data\m\flec006.exe (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\Rimk\Application Data\drivers\wfsintwq.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\cisvc.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
0
Réponse 17 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
30 mars 2009 à 18:55
Télécharge FindyKill (Merci à Chiquitine29 !!)

Fais un clic droit sur le lien, Enregistrer la cible sous (Internet Explorer) ou Enregistrer la cible du lien sous (Firefox) …
Choisis d’enregistrer le fichier sur le bureau.

Double clique sur FindyKill.exe
Choisis l’option 1 (Recherche)
Un rapport va s’ouvrir, poste le dans ta prochaine réponse.

Note :
Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt)
0
Réponse 18 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
31 mars 2009 à 17:59
salut!

C'est fait :


############################## [ FindyKill V4.721 ]

# User : Rimk (Administrateurs) # RIMEK
# Update on 29/03/09 by Chiquitine29
# Start at: 17:57:53 | 31/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Bitdefender Antivirus 8.0 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 38,28 Go (26,1 Go free) # NTFS
# D:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque CD-ROM
# J:\ # Disque CD-ROM
# K:\ # Disque fixe local # 152,66 Go (91,41 Go free) [Rimk] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Rimk\Application Data\drivers\winupgro.exe
C:\WINDOWS\System32\drivers\esentutl.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\DOCUME~1\Rimk\LOCALS~1\Temp\~tmp\mdnk50\mdmm.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Rimk\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Rimk\Application Data\drivers\winupgro.exe" (844)
"C:\Documents and Settings\Rimk\Application Data\m\flec006.exe" (2628)
"C:\WINDOWS\system32\wintems.exe" (2500)

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS & C:\WINDOWS\Prefetch ]

Found ! - C:\WINDOWS\prefetch\109609.EXE-23996DD3.pf
Found ! - C:\WINDOWS\prefetch\125609.EXE-2E8D31F8.pf
Found ! - C:\WINDOWS\prefetch\182078.EXE-15A60263.pf
Found ! - C:\WINDOWS\prefetch\191593.EXE-0500A8C1.pf
Found ! - C:\WINDOWS\prefetch\206937.EXE-1728CF3D.pf
Found ! - C:\WINDOWS\prefetch\223718.EXE-36F21478.pf
Found ! - C:\WINDOWS\prefetch\228015.EXE-2431C273.pf
Found ! - C:\WINDOWS\prefetch\234890.EXE-2DB10DC5.pf
Found ! - C:\WINDOWS\prefetch\250796.EXE-3A13EF8F.pf
Found ! - C:\WINDOWS\prefetch\258562.EXE-07C7D884.pf
Found ! - C:\WINDOWS\prefetch\268953.EXE-28E4945C.pf
Found ! - C:\WINDOWS\prefetch\278593.EXE-28C65EAD.pf
Found ! - C:\WINDOWS\prefetch\365484.EXE-35DA1E60.pf
Found ! - C:\WINDOWS\prefetch\378937.EXE-2DC825D3.pf
Found ! - C:\WINDOWS\prefetch\383750.EXE-1CF872BB.pf
Found ! - C:\WINDOWS\prefetch\390640.EXE-1023B1E2.pf
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-0651661C.pf
Found ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Found ! - C:\WINDOWS\prefetch\RUN.EXE-055F6F7E.pf
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf

################## [ C:\WINDOWS\system32 ]

Found ! - C:\WINDOWS\system32\mdelk.exe
Found ! - C:\WINDOWS\system32\wintems.exe
Found ! - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]

Found ! - "C:\Documents and Settings\Rimk\Application Data\m\flec006.exe"
Found ! - "C:\Documents and Settings\Rimk\Application Data\m\list.oct"
Found ! - "C:\Documents and Settings\Rimk\Application Data\m\data.oct"
Found ! - "C:\Documents and Settings\Rimk\Application Data\m\srvlist.oct"
Found ! - "C:\Documents and Settings\Rimk\Application Data\m\shared"
Found ! - "C:\Documents and Settings\Rimk\Application Data\m"
Found ! - "C:\Documents and Settings\Rimk\Application Data\drivers"
Found ! - "C:\Documents and Settings\Rimk\Application Data\drivers\srosa2.sys"
Found ! - "C:\Documents and Settings\Rimk\Application Data\drivers\wfsintwq.sys"
Found ! - "C:\Documents and Settings\Rimk\Application Data\drivers\winupgro.exe"
Found ! - "C:\Documents and Settings\Rimk\Application Data\drivers\downld"

################## [ C:\Users...\Temp Files... ]

Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_1[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_1[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[3].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[4].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_6[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\ftpps[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\ieps[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_2[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_3[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_3[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_3[3].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_6[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_6[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\file[1].txt
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[3].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[4].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64[3].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_1[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_2[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_2[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_2[3].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_3[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_1[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_1[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_2[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_2[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_3[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_6[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_6[2].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_6[3].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\mxd[1].jpg
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\servernames[1].htm
Found ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\servernames[2].htm

################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Local AppWizard-Generated Applications\run
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\DateTime4
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\FFC
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\run
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\DateTime4
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Found ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

################## [ Recherche dans supports amovibles]

# Présence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.721 ! ]
0
Réponse 19 / 45
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
31 mars 2009 à 18:03
Jolie infections bagles ;)


Nettoyage :

--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal, choisis l’option 2 (Suppression)


/!\ Il y aura deux redémarrages, laisse travailler l’outil jusqu’à l’apparition du message "nettoyage effectué" /!\

/!\ Ne te sert pas du pc durant la suppression, ton bureau ne sera pas accessible, c’est normal ! /!\

Ensuite poste le rapport FindyKill.txt


ensuite :


Relance findykill choisie l'option 4

Poste le rapport
0
Réponse 20 / 45
genereux Messages postés 572 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 10 mai 2015 38
31 mars 2009 à 18:24
############################## [ FindyKill V4.721 ]

# User : Rimk (Administrateurs) # RIMEK
# Update on 29/03/09 by Chiquitine29
# Start at: 18:01:24 | 31/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Athlon(tm) 64 Processor 3000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Bitdefender Antivirus 8.0 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 38,28 Go (26,1 Go free) # NTFS
# D:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque CD-ROM
# J:\ # Disque CD-ROM
# K:\ # Disque fixe local # 152,66 Go (91,41 Go free) [Rimk] # NTFS

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\drivers\esentutl.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\DOCUME~1\Rimk\LOCALS~1\Temp\~tmp\mdnk50\mdmm.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\WINDOWS & C:\WINDOWS\prefetch ]

Deleted ! - C:\WINDOWS\prefetch\109609.EXE-23996DD3.pf
Deleted ! - C:\WINDOWS\prefetch\125609.EXE-2E8D31F8.pf
Deleted ! - C:\WINDOWS\prefetch\182078.EXE-15A60263.pf
Deleted ! - C:\WINDOWS\prefetch\191593.EXE-0500A8C1.pf
Deleted ! - C:\WINDOWS\prefetch\206937.EXE-1728CF3D.pf
Deleted ! - C:\WINDOWS\prefetch\223718.EXE-36F21478.pf
Deleted ! - C:\WINDOWS\prefetch\228015.EXE-2431C273.pf
Deleted ! - C:\WINDOWS\prefetch\234890.EXE-2DB10DC5.pf
Deleted ! - C:\WINDOWS\prefetch\250796.EXE-3A13EF8F.pf
Deleted ! - C:\WINDOWS\prefetch\258562.EXE-07C7D884.pf
Deleted ! - C:\WINDOWS\prefetch\268953.EXE-28E4945C.pf
Deleted ! - C:\WINDOWS\prefetch\278593.EXE-28C65EAD.pf
Deleted ! - C:\WINDOWS\prefetch\365484.EXE-35DA1E60.pf
Deleted ! - C:\WINDOWS\prefetch\378937.EXE-2DC825D3.pf
Deleted ! - C:\WINDOWS\prefetch\383750.EXE-1CF872BB.pf
Deleted ! - C:\WINDOWS\prefetch\390640.EXE-1023B1E2.pf
Deleted ! - C:\WINDOWS\prefetch\FLEC006.EXE-0651661C.pf
Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Deleted ! - C:\WINDOWS\prefetch\RUN.EXE-055F6F7E.pf
Deleted ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf

################## [ C:\WINDOWS\System32 ]

Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\System32\drivers ]


################## [ C:\.. Application Data ... ]

Deleted ! - "C:\Documents and Settings\Rimk\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\m"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\Rimk\Application Data\drivers"

################## [ C:\Documents and Settings\Rimk\.....\Temp Files... ]

Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_3[4].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\b64_6[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\ftpps[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\6U1VX0R1\ieps[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_6[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\b64_6[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\file[1].txt
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[3].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\FJT3EHTA\mxd[4].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64[3].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_2[3].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\OJXSY2V0\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_6[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_6[2].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\b64_6[3].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\mxd[1].jpg
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\servernames[1].htm
Deleted ! - C:\Documents and Settings\Rimk\Local Settings\Temporary Internet Files\Content.IE5\ULFNE5DU\servernames[2].htm

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\run
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-1715567821-1580818891-839522115-1003\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

# Deleting Files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\Rimk\Application Data\drivers\winupgro.exe
CRC32 .. : 75b37127
MD5 .... : b9983d1247e193cbbf17b534e5ea9a9a

Deleted ! : C:\Program Files\Windows Media Player\wmpnscfg.exe
# Taille : 860160 # MD5 : B9983D1247E193CBBF17B534E5EA9A9A

Deleted ! : K:\RECYCLER\S-1-5-21-1715567821-1580818891-839522115-1003\Dk4.exe
# Taille : 860160 # MD5 : B9983D1247E193CBBF17B534E5EA9A9A


################## [ PEH Corrupted ]

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\bdsubmit.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\upgrepl.exe
C:\Program Files\MSN\MSNCoreFiles\update.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdsubmit.exe
C:\Program Files\Softwin\BitDefender10\bdwizreg.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Spybot - Search & Destroy\blindman.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Spybot - Search & Destroy\Update.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB904942\update\update.exe
C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
C:\WINDOWS\$hf_mig$\KB932823-v3\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-v2-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB938464\update\update.exe
C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
C:\WINDOWS\$hf_mig$\KB950749\update\update.exe
C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
C:\WINDOWS\$hf_mig$\KB951066\update\update.exe
C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951698\update\update.exe
C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
C:\WINDOWS\$hf_mig$\KB952287\update\update.exe
C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
C:\WINDOWS\$hf_mig$\KB953838-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB953839\update\update.exe
C:\WINDOWS\$hf_mig$\KB954211\update\update.exe
C:\WINDOWS\$hf_mig$\KB954459\update\update.exe
C:\WINDOWS\$hf_mig$\KB954600\update\update.exe
C:\WINDOWS\$hf_mig$\KB955069\update\update.exe
C:\WINDOWS\$hf_mig$\KB955839\update\update.exe
C:\WINDOWS\$hf_mig$\KB956390-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB956391\update\update.exe
C:\WINDOWS\$hf_mig$\KB956802\update\update.exe
C:\WINDOWS\$hf_mig$\KB956803\update\update.exe
C:\WINDOWS\$hf_mig$\KB956841\update\update.exe
C:\WINDOWS\$hf_mig$\KB957095\update\update.exe
C:\WINDOWS\$hf_mig$\KB957097\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB958644\update\update.exe
C:\WINDOWS\$hf_mig$\KB958687\update\update.exe
C:\WINDOWS\$hf_mig$\KB958690\update\update.exe
C:\WINDOWS\$hf_mig$\KB960225\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB960715\update\update.exe
C:\WINDOWS\$hf_mig$\KB961260-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB967715\update\update.exe
C:\WINDOWS\$NtServicePackUninstall$\sysinfo.exe
C:\WINDOWS\ServicePackFiles\i386\sysinfo.exe
C:\WINDOWS\system32\dllcache\register.exe

################## [ ! End of Report # FindyKill V4.721 ! ]

Je lance l'option 4
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses