Sujet Précédent Sujet Suivant

Trojan win32

mamamiia -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
J'ai besoin d'aide svp
depuis quelques jours je suis bloqué par un trojan Win32
il me bloque ma wifi et l'ouverture de avast ([...] win32 n'est pas une application valide)
alors je démare mon ordi en mode sans echec pour pouvoir faire un spybot
qui me trouve 2 problème :
- Microsoft.WindowsSecurityCenter_disabled (genre : 1 élément security)
- Win32.Bagle.hi (genre : 2 trojans)

voila donc je corrige les problèmes et je rallume mon ordi mais toujours comme avant pas de wifi ni de avast qui marche.
Alors je refais un spybot sous echec (parce que sa ne marche pas en mode normal). et ils me retrouvent a chaque fois ces deux problèmes.
Je sais plus quoi faire il me les corrig mais a chaque foisz il reviennent.
Merci de votre aide !
ps : j'ai windows vista
A voir également:

19 réponses

Réponse 1 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Salut !

Bagle est une infection qu'on attrape en téléchargeant des cracks sur peer to peer.
Il supprime les antivirus, firewall, empèche le redémarrage en mode sans échec... et ralentit considérablement l'ordinateur.

S'il y a bien une infection que l'on attrape stupidement, c'est celle-ci.

Première chose, supprimes tes cracks, autrement l'infection se relancera...

Ensuite :

Télécharge FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre-le sur ton bureau et pas ailleurs !

!! Déconnecte toi et ferme toutes les applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Clique droit sur "FindyKill.exe" puis Executer en tant qu'administrateur pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

Tuto : https://www.malekal.com/tutorial-findykill/

Après installation :

--> Cic droit puis Executer en tant qu'administrateur sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ). Puis laisse travailler l'outil sans rien toucher ...

Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Réponse 2 / 19
mamamiia
 
re
tout dabord merci bcp de ton aide
voila mon rapport :

############################## [ FindyKill V4.724 ]

# User : Perrine (Administrateurs) # PC-DE-PERRINE
# Update on 15/04/09 by Chiquitine29
# Start at: 12:32:50 | 16/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Genuine Intel(R) CPU 2140 @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 111,69 Go (70,8 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 55,77 Go (11,22 Go free) [Films] # NTFS
# E:\ # Disque CD-ROM # 35,36 Mo (0 Mo free) [DWA-110 FR] # CDFS
# F:\ # Disque amovible # 1,93 Go (1,93 Go free) # FAT
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 29,3 Go (24,46 Go free) [Musiques] # NTFS
# K:\ # Disque fixe local # 9,77 Go (7,5 Go free) [Documents] # NTFS
# L:\ # Disque fixe local # 16,6 Go (13,19 Go free) [Photos & images] # NTFS
# M:\ # Disque amovible

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Users\Perrine\AppData\Roaming\drivers\winupgro.exe
C:\Users\Perrine\AppData\Local\oeuceym.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe

################## [ Processus infectieux stoppés ]

"C:\Users\Perrine\AppData\Roaming\drivers\winupgro.exe" (412)

################## [ C:\Windows # C:\Windows\Prefetch ]

################## [ C:\Windows\System32... ]

################## [ C:\Users\Perrine\AppData\Roaming ]

Found ! "C:\Users\Perrine\AppData\Roaming\drivers"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\srosa2.sys"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\wfsintwq.sys"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\winupgro.exe"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\downld"

################## [ C:\Users\Perrine...\Temp Files... ]

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-1986488835-1005406883-2552569905-1000\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-1986488835-1005406883-2552569905-1000\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-1986488835-1005406883-2552569905-1000\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

# Contenu de l'autorun : E:\autorun.inf

[autorun]
OPEN=AUTORUN.EXE
ICON=AUTORUN.EXE,0

# Recherche fichiers connus :

Found ! E:\autorun.inf

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.724 ! ]

voila maintenant que doii je faire
merci encore de ton aide
0
Réponse 3 / 19
mamamiia
 
j'ai lancé l'étape 2
il me trouve deja des fichiers infectés
que devrais je faire après cette étape stp
merci
0
Réponse 4 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Important :

Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...

Ferme toutes les applications en cours !

Relance FindyKill :( clic droit,=> " Exécuter en tant qu'administrateur " )

-> choisis cette fois-ci l'option 2 (suppression).

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , cliques sur " Ok " .

--> Poste le nouveau rapport FindyKill.txt qui est généré.

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
mamamiia
 
un petit problème j'ai oublié de brancher un unité externe
ma clé wifi celle ki me posai problème
est ce que c'est grave
0
Réponse 6 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Refais ce que j'ai mis au dessus ( option 2 ) en branchant tous tes supports externes ( mais sans les ouvrir )

Poste moi le rapport sauvegardé à la racine du disque -> C:\FindyKill.txt
0
Réponse 7 / 19
mamamiia
 
voila je lai refai
et jobitience ceci

############################## [ FindyKill V4.724 ]

# User : (Administrateurs) # PC
# Update on 15/04/09 by Chiquitine29
# Start at: 13:20:39 | 16/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Genuine Intel(R) CPU 2140 @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 111,69 Go (70,86 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 55,77 Go (11,22 Go free) [Films] # NTFS
# E:\ # Disque CD-ROM # 35,36 Mo (0 Mo free) [DWA-110 FR] # CDFS
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 29,3 Go (24,46 Go free) [Musiques] # NTFS
# K:\ # Disque fixe local # 9,77 Go (7,5 Go free) [Documents] # NTFS
# L:\ # Disque fixe local # 16,6 Go (13,19 Go free) [Photos & images] # NTFS
# M:\ # Disque amovible

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

################## [ C:\Windows # C:\Windows\Prefetch ]

################## [ C:\Windows\System32... ]

################## [ C:\Users\...\AppData\Roaming ]

################## [ Cleaning .. Temp Files... ]

################## [ Registry / Infected keys ]

################## [ Cleaning Removable drives ]

# Deleting Files :

Not deleted ! E:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Norton Internet Security\isPwdSvc.exe
C:\Program Files\Norton Internet Security\isUAC.exe
C:\Program Files\Norton Internet Security\nisoptui.exe
C:\Program Files\Norton Internet Security\osCheck.exe
C:\Program Files\Red Kawa\Downloader App\uninstaller.exe
C:\Program Files\Red Kawa\Video Converter App\uninstaller.exe

################## [ ! End of Report # FindyKill V4.724 ! ]

############################## [ FindyKill V4.724 ]

# User : Perrine (Administrateurs) # PC-DE-PERRINE
# Update on 15/04/09 by Chiquitine29
# Start at: 12:32:50 | 16/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Genuine Intel(R) CPU 2140 @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 111,69 Go (70,8 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 55,77 Go (11,22 Go free) [Films] # NTFS
# E:\ # Disque CD-ROM # 35,36 Mo (0 Mo free) [DWA-110 FR] # CDFS
# F:\ # Disque amovible # 1,93 Go (1,93 Go free) # FAT
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 29,3 Go (24,46 Go free) [Musiques] # NTFS
# K:\ # Disque fixe local # 9,77 Go (7,5 Go free) [Documents] # NTFS
# L:\ # Disque fixe local # 16,6 Go (13,19 Go free) [Photos & images] # NTFS
# M:\ # Disque amovible

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Users\Perrine\AppData\Roaming\drivers\winupgro.exe
C:\Users\Perrine\AppData\Local\oeuceym.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe

################## [ Processus infectieux stoppés ]

"C:\Users\Perrine\AppData\Roaming\drivers\winupgro.exe" (412)

################## [ C:\Windows # C:\Windows\Prefetch ]

################## [ C:\Windows\System32... ]

################## [ C:\Users\Perrine\AppData\Roaming ]

Found ! "C:\Users\Perrine\AppData\Roaming\drivers"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\srosa2.sys"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\wfsintwq.sys"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\winupgro.exe"
Found ! "C:\Users\Perrine\AppData\Roaming\drivers\downld"

################## [ C:\Users\Perrine...\Temp Files... ]

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-1986488835-1005406883-2552569905-1000\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-1986488835-1005406883-2552569905-1000\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-1986488835-1005406883-2552569905-1000\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

# Contenu de l'autorun : E:\autorun.inf

[autorun]
OPEN=AUTORUN.EXE
ICON=AUTORUN.EXE,0

# Recherche fichiers connus :

Found ! E:\autorun.inf

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.724 ! ]

que faire maintenant?
0
Réponse 8 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Refais l'option 2 et poste le rapport
0
Réponse 9 / 19
mamamiia
 
un problème mon ordi ne detecte plus les ports usb
je ne peux donc pas vous transetre le rapport
que faire$
0
Réponse 10 / 19
mamamiia
 
un problème mon ordi ne detecte plus les ports usb
je ne peux donc pas vous transetre le rapport
que faire$
0
Réponse 11 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
mon ordi ne detecte plus les ports usb

???

Il est installé sur une clé Findykill ?
Tu as bien le rapport quelque part...

le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt
0
Réponse 12 / 19
mamamiia
 
############################## [ FindyKill V4.724 ]

# User : Perrine (Administrateurs) # PC-DE-PERRINE
# Update on 15/04/09 by Chiquitine29
# Start at: 14:09:22 | 16/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Genuine Intel(R) CPU 2140 @ 1.60GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 111,69 Go (76,55 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 55,77 Go (11,22 Go free) [Films] # NTFS
# E:\ # Disque CD-ROM # 35,36 Mo (0 Mo free) [DWA-110 FR] # CDFS
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 29,3 Go (24,47 Go free) [Musiques] # NTFS
# K:\ # Disque fixe local # 9,77 Go (7,5 Go free) [Documents] # NTFS
# L:\ # Disque fixe local # 16,6 Go (13,19 Go free) [Photos & images] # NTFS
# M:\ # Disque amovible

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

################## [ C:\Windows # C:\Windows\Prefetch ]

################## [ C:\Windows\System32... ]

################## [ C:\Users\...\AppData\Roaming ]

################## [ Cleaning .. Temp Files... ]

################## [ Registry / Infected keys ]

################## [ Cleaning Removable drives ]

# Deleting Files :

Not deleted ! E:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Norton Internet Security\isPwdSvc.exe
C:\Program Files\Norton Internet Security\isUAC.exe
C:\Program Files\Norton Internet Security\nisoptui.exe
C:\Program Files\Norton Internet Security\osCheck.exe
C:\Program Files\Red Kawa\Downloader App\uninstaller.exe
C:\Program Files\Red Kawa\Video Converter App\uninstaller.exe

################## [ ! End of Report # FindyKill V4.724 ! ]

c'est bon voila le raport que faire maintenant
0
Réponse 13 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Sauvegarde ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Clic droit sur le bureau => nouveau document => document texte et copi/colle ces instructions que tu porras consulter pour faire la manip' correctement !

* Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
S'il manque le fichier COMCTL32.OCX, tu pourras le télécharger ici

C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celle-ci.

* Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.

Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse

Tutoriel
Un autre si tu as besoin d'aide.

Ensuite, on tente d'installer un Antivirus

@+

ps) Evite d'aller sur d'autres sites, pour l'instant, tu n'as pas de protection sur ton pc
0
Réponse 14 / 19
mamamiia
 
ceci ne craint rien parce que je suis sur un autre ordi
car le mien ne peut pas marcher car il ne det'cte pas ma clé wifi a cause de ce win32 je ne peux donc pas avoir internet
est ce que c'est normal dailleurs que l'ordinateur me bloque toujours ma clé wifi ? si oui remarchera telle après le malwarebytes'anti-malware??
0
Réponse 15 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Essaye.

MBAM nous donnera plus de détails...

0
Réponse 16 / 19
mamamiia
 
Le logiciel que vous maviez donné m'avait trouvé 7 élément infectés alors je suprimé la liste comme vous maviez dit mon ordi s'est redémaré et jai refait un examen rapide et il ne ma plus trouvé de éléments infectés.
Alors maintenatnt jessais de faire un examen complet mais il a lair de me trouver aucun fichier infecté pour le moment.
entre temps j'ai essayé de telecharger un anti virus (avast) et quans je veux linstaller mon ordinateur m'écrit : les paramètres de sécurité actuels ne vous permettent pas de téléchager ce fichier questce que cela veut dire ??

est ce que avast est un très bon anti-virus ?? sinon en connaissez vous des mieux gratuits svp ? merci de me le dire
0
Réponse 17 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Poste moi les rapports qui se trouvent sous l'onglet Rapports/logs de MBAM stp...

Laisse tomber Avast, Il y a mieux ( en gratuit également )
0
Réponse 18 / 19
mamamiia
 
qui a til de bien commen antivirus gratuit ??

voila le raport

Malwarebytes' Anti-Malware 1.29
Version de la base de données: 1276
Windows 6.0.6001 Service Pack 1

16/04/2009 15:08:28
mbam-log-2009-04-16 (15-08-24).txt

Type de recherche: Examen rapide
Eléments examinés: 43480
Temps écoulé: 2 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.

Fichier(s) infecté(s):
C:\Users\Perrine\Local Settings\Application Data\oeuceym_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\Perrine\Local Settings\Application Data\oeuceym_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\Perrine\Local Settings\Application Data\oeuceym.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\Perrine\Local Settings\Application Data\oeuceym.exe (Adware.Navipromo.H) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Spyware-Secure trial.lnk (Rogue.Spyware-Secure) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Website.lnk (Rogue.Spyware-Secure) -> No action taken.
0
Réponse 19 / 19
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Bein dis donc... c'est la cata...

Bon, on procède par étape :

Tu est également infecté par L'adware NAVIPROMO
C"est un adware succeptible d'ouvrir des popups de publicités.
Il est connu pour afficher des popups de pub pornographiques
Des popup d'alertes pour les antivirus WinantivirusPro, Drive Cleaner, NaviSearch, serwab, Spyware-Secure ou System Doctor

Adware.Magic.Control utilise des techniques de rootkit, ce qui le rend difficile à supprimer. Beaucoup d'antispyware ne sont pas capable de le supprimer.

Cet adware est installé par les programmes :

* go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer
* Sur le site www.games-desktop.com (n'allez pas dessus!!)
* original-solitaire
* games_attack
* funky_emoticons

Sous Vista,tu dois désactiver l' UAC...

Désactive le contrôle des comptes utilisateurs
(tu le réactiveras après ta désinfection):

* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée :
* Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis
"Exécuter en tant qu'administrateur".

* Au menu principal, fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
* Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
* Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

@+
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses