Sujet Précédent Sujet Suivant

Gros virus à débarrasser

Fermé
Kaleb33 - 2 mai 2009 à 14:57
 Kaleb33 - 3 mai 2009 à 12:44
Bonjour,
je cherche quelqu'un qui pourrait m'aider.
J'ai chopé un virus en téléchargeant un keygen. Mon ordi m'a indiqué qu'on essayait d'éteindre mon antivirus. On m'a demandé si je voulais continuer, j'ai bien sur dit non. Or depuis mon antivirus ne fonctionne plus et d'ailleurs aucun .exe ne fonctionne plus. Message : ......exe n'est pas une application win32 valide. Plus possibilité d'utiliser adaware, ni spybot... enfin tout ce qui pourrait me permettre de répérer quelque chose. De plus, mon processeur est utilisé à 100 %. Et la cerise c'est qu'il utilise différents processus pour utiliser les 100 %. Il change toutes les secondes. Donc impossible à localiser. Donc pour être plus clair, mon processeur fonctionne à fond en permanence avec des processus qui changent à chaque seconde. De plus, parmi tant d'autres, je n'ai plus de périphérique audio. Plus de son. Windows media player ne reconnaît plus les chansons que j'ai mises en préférence. Lorsque je met vlc je n'ai pas de son... Et je pense ne pas avoir tout découvert.

J'ai donc fait plein de recherches, tenté plein de choses. Notamment des scan par internet mais le virus m'interdit de télécharger les fichier active'x ou autres. Pas de rapport highjackthis non plus, ce n'est pas une application win32 valide. La seule chose que j'ai pu faire, c'est un rapport GENPROC. Il m'a d'abord demandé de faire un Ccleaner mais ça ne marche pas. Ensuite j'ai fait un findykill dont je joins le rapport. Ca a l'air super mais il me conseille, dans la démarche à suivre, de poster ce rapport sur un forum. Et ce que je fais. Si quelqu'un peut me dire, avant que je passe à la deuxième étape de findykill, c'est à dire supprimer fichiers infectés, ce qu'il en pense, je l'en remercie fortement. HELP, je me suis bien fait avoir.

Kaleb33

Voici le rapport de findykill


############################## [ FindyKill V4.728 ]

# User : Kaleb (Administrateurs) # KALEB
# Update on 01/05/09 by Chiquitine29
# Start at: 14:13:55 | 02/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090429-0] 4.8.1335 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 19,53 Go (4,24 Go free) # NTFS
# D:\ # Disque fixe local # 73,62 Go (4,71 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 955,72 Mo (280,39 Mo free) [KALEB33] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Registry Mechanic\RegMech.exe
C:\Documents and Settings\Kaleb\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Kaleb\Application Data\m\flec006.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Kaleb\Application Data\drivers\winupgro.exe" (560)
"C:\Documents and Settings\Kaleb\Application Data\m\flec006.exe" (576)
"C:\WINDOWS\system32\wintems.exe" (3516)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\WINDOWS\system32\ban_list.txt
Found ! C:\WINDOWS\system32\mdelk.exe
Found ! C:\WINDOWS\system32\wintems.exe
Found ! "C:\Documents and Settings\Kaleb\Application Data\drivers"
Found ! "C:\Documents and Settings\Kaleb\Application Data\drivers\downld"
Found ! "C:\Documents and Settings\Kaleb\Application Data\drivers\srosa2.sys"
Found ! "C:\Documents and Settings\Kaleb\Application Data\drivers\wfsintwq.sys"
Found ! "C:\Documents and Settings\Kaleb\Application Data\drivers\winupgro.exe"
Found ! "C:\Documents and Settings\Kaleb\Application Data\m"
Found ! "C:\Documents and Settings\Kaleb\Application Data\m\data.oct"
Found ! "C:\Documents and Settings\Kaleb\Application Data\m\flec006.exe"
Found ! "C:\Documents and Settings\Kaleb\Application Data\m\list.oct"
Found ! "C:\Documents and Settings\Kaleb\Application Data\m\shared"
Found ! "C:\Documents and Settings\Kaleb\Application Data\m\srvlist.oct"

################## [ Infected Temp Files ]

Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\81R66EXN\b64_1[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\88290HEG\b64_1[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\88290HEG\b64_1[2].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\88290HEG\file[1].txt
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\8Y6286UK\b64_1[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\8Y6286UK\b64_3[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\AH2KTQBG\b64_3[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\G0F40T4T\b64_3[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\G0F40T4T\b64_3[2].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\b64[1].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\b64[2].jpg
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\file[1].txt
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\servernames[1].htm
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\QV31IV9N\file[1].txt
Found ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\QV31IV9N\mxd[1].jpg
Found ! C:\DOCUME~1\Kaleb\LOCALS~1\Temp\wz6035\keygen.exe
Found ! C:\DOCUME~1\Kaleb\LOCALS~1\Temp\wzac2d\keygen.exe
Found ! C:\Documents and Settings\Kaleb\Cookies\kaleb@www.keygen[1].txt

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\Local AppWizard-Generated Applications\keygen
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\bisoft
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\DateTime4
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\FFC
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\MuleAppData
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\keygen
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\DateTime4
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Found ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

Found ! F:\adobeR.exe

################## [ Registre / Mountpoints2 ]

Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1be5a7b1-90fc-11dc-acc1-0016365a8d54}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{873cd600-2707-11dd-ae43-0016365a8d54}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8866aae2-0dab-11dc-abb3-0016365a8d54}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{929798c1-5df4-11dc-ac50-0016365a8d54}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{929798c2-5df4-11dc-ac50-0016365a8d54}\Shell\AutoRun\command

################## [ ! Fin du rapport # FindyKill V4.728 ! ]
A voir également:

7 réponses

Réponse 1 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 15:00
Bonjour

Eh oui, tu es bien infecté par Bagle, donc :

Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...


Ferme toutes les applications en cours !

Relance FindyKill :

-> choisis cette fois-ci l'option 2 (suppression).

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , clique sur " Ok " .

--> Poste le nouveau rapport FindyKill.txt qui est généré.

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
0
Kaleb33
2 mai 2009 à 15:53
Merci pour cette réponse. Je ne m'attendais pas à ce qu'elle soit si rapide. Je lance findykill et j'envoie le rapport quand je l'ai. Merci encore quel que soit le résultat.
0
Kaleb33
2 mai 2009 à 15:58
Voici le rapport.
0
Kaleb33
2 mai 2009 à 15:58
############################## [ FindyKill V4.728 ]

# User : Kaleb (Administrateurs) # KALEB
# Update on 01/05/09 by Chiquitine29
# Start at: 15:50:13 | 02/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090429-0] 4.8.1335 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 19,53 Go (4,3 Go free) # NTFS
# D:\ # Disque fixe local # 73,62 Go (4,71 Go free) # NTFS
# E:\ # Disque CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\drivers\srosa2.sys"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\m\data.oct"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\m\flec006.exe"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\m\list.oct"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\drivers\downld"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\drivers"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\m\shared"
Deleted ! "C:\Documents and Settings\Kaleb\Application Data\m"

################## [ Infected Temp Files ]

Deleted ! C:\DOCUME~1\Kaleb\LOCALS~1\Temp\wz6035\keygen.exe
Deleted ! C:\DOCUME~1\Kaleb\LOCALS~1\Temp\wzac2d\keygen.exe
Deleted ! C:\Documents and Settings\Kaleb\Cookies\kaleb@www.keygen[1].txt
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\81R66EXN\b64_1[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\88290HEG\b64_1[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\88290HEG\b64_1[2].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\88290HEG\file[1].txt
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\8Y6286UK\b64_1[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\8Y6286UK\b64_3[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\AH2KTQBG\b64_3[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\G0F40T4T\b64_3[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\G0F40T4T\b64_3[2].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\b64[1].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\b64[2].jpg
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\file[1].txt
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\LPL7GTVS\servernames[1].htm
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\QV31IV9N\file[1].txt
Deleted ! C:\Documents and Settings\Kaleb\Local Settings\Temporary Internet Files\Content.IE5\QV31IV9N\mxd[1].jpg

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\keygen
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1454471165-1957994488-1343024091-1004\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]


################## [ Registry / Mountpoint2 ]

Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1be5a7b1-90fc-11dc-acc1-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{873cd600-2707-11dd-ae43-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8866aae2-0dab-11dc-abb3-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{929798c1-5df4-11dc-ac50-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{929798c2-5df4-11dc-ac50-0016365a8d54}\Shell\AutoRun\command

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\Kaleb\Application Data\drivers\winupgro.exe
CRC32 .. : dcdf2aaf
MD5 .... : 008b746e7895ca2f4b6350606690c9ed

Suspect ! : C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
# Taille : 847872 # MD5 : 9B67DC0A55E9E4585D8C4D7DF6E52B4B
File was renamed : TeaTimer.exe.REN


################## [ Corrupted files # Re-Installation required ]

C:\Documents and Settings\Kaleb\Bureau\HiJackThis.exe
C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashChest.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashEnhcd.exe
C:\Program Files\Alwil Software\Avast4\ashLogV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashPopWz.exe
C:\Program Files\Alwil Software\Avast4\ashQuick.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
C:\Program Files\Alwil Software\Avast4\ashUpd.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\copyx64.exe
C:\Program Files\Alwil Software\Avast4\sched.exe
C:\Program Files\Alwil Software\Avast4\VisthLic.exe
C:\Program Files\Alwil Software\Avast4\VisthUpd.exe
C:\Program Files\Creative\Shared Files\Software Update\AutoUpdate.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\MSN\MSNCoreFiles\update.exe
C:\Program Files\Registry Mechanic\Update.exe
C:\Program Files\Spybot - Search & Destroy\blindman.exe
C:\Program Files\Spybot - Search & Destroy\Update.exe
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE
C:\Program Files\Symantec\LiveUpdate\LUALL.EXE
C:\Program Files\Symantec\LiveUpdate\LuComServer.EXE
C:\Program Files\Symantec\LiveUpdate\LUInit.exe
C:\Program Files\Symantec\LiveUpdate\SymantecRootInstaller.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\$hf_mig$\KB873339\update\update.exe
C:\WINDOWS\$hf_mig$\KB885835\update\update.exe
C:\WINDOWS\$hf_mig$\KB885836\update\update.exe
C:\WINDOWS\$hf_mig$\KB886185\update\update.exe
C:\WINDOWS\$hf_mig$\KB887472\update\update.exe
C:\WINDOWS\$hf_mig$\KB888302\update\update.exe
C:\WINDOWS\$hf_mig$\KB890859\update\update.exe
C:\WINDOWS\$hf_mig$\KB891781\update\update.exe
C:\WINDOWS\$hf_mig$\KB893756\update\update.exe
C:\WINDOWS\$hf_mig$\KB894391\update\update.exe
C:\WINDOWS\$hf_mig$\KB896358\update\update.exe
C:\WINDOWS\$hf_mig$\KB896423\update\update.exe
C:\WINDOWS\$hf_mig$\KB896424\update\update.exe
C:\WINDOWS\$hf_mig$\KB896428\update\update.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB899587\update\update.exe
C:\WINDOWS\$hf_mig$\KB899591\update\update.exe
C:\WINDOWS\$hf_mig$\KB900485\update\update.exe
C:\WINDOWS\$hf_mig$\KB900725\update\update.exe
C:\WINDOWS\$hf_mig$\KB901017\update\update.exe
C:\WINDOWS\$hf_mig$\KB901214\update\update.exe
C:\WINDOWS\$hf_mig$\KB902400\update\update.exe
C:\WINDOWS\$hf_mig$\KB904706\update\update.exe
C:\WINDOWS\$hf_mig$\KB904942\update\update.exe
C:\WINDOWS\$hf_mig$\KB905414\update\update.exe
C:\WINDOWS\$hf_mig$\KB905749\update\update.exe
C:\WINDOWS\$hf_mig$\KB908519\update\update.exe
C:\WINDOWS\$hf_mig$\KB908531\update\update.exe
C:\WINDOWS\$hf_mig$\KB910437\update\update.exe
C:\WINDOWS\$hf_mig$\KB911280\update\update.exe
C:\WINDOWS\$hf_mig$\KB911562\update\update.exe
C:\WINDOWS\$hf_mig$\KB911927\update\update.exe
C:\WINDOWS\$hf_mig$\KB912919\update\update.exe
C:\WINDOWS\$hf_mig$\KB913580\update\update.exe
C:\WINDOWS\$hf_mig$\KB914388\update\update.exe
C:\WINDOWS\$hf_mig$\KB914389\update\update.exe
C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
C:\WINDOWS\$hf_mig$\KB916595\update\update.exe
C:\WINDOWS\$hf_mig$\KB917344\update\update.exe
C:\WINDOWS\$hf_mig$\KB917422\update\update.exe
C:\WINDOWS\$hf_mig$\KB917953\update\update.exe
C:\WINDOWS\$hf_mig$\KB918118\update\update.exe
C:\WINDOWS\$hf_mig$\KB918439\update\update.exe
C:\WINDOWS\$hf_mig$\KB919007\update\update.exe
C:\WINDOWS\$hf_mig$\KB920213\update\update.exe
C:\WINDOWS\$hf_mig$\KB920670\update\update.exe
C:\WINDOWS\$hf_mig$\KB920683\update\update.exe
C:\WINDOWS\$hf_mig$\KB920685\update\update.exe
C:\WINDOWS\$hf_mig$\KB920872\update\update.exe
C:\WINDOWS\$hf_mig$\KB921398\update\update.exe
C:\WINDOWS\$hf_mig$\KB921503\update\update.exe
C:\WINDOWS\$hf_mig$\KB922582\update\update.exe
C:\WINDOWS\$hf_mig$\KB922616\update\update.exe
C:\WINDOWS\$hf_mig$\KB922819\update\update.exe
C:\WINDOWS\$hf_mig$\KB923414\update\update.exe
C:\WINDOWS\$hf_mig$\KB923561\update\update.exe
C:\WINDOWS\$hf_mig$\KB923694\update\update.exe
C:\WINDOWS\$hf_mig$\KB923980\update\update.exe
C:\WINDOWS\$hf_mig$\KB924191\update\update.exe
C:\WINDOWS\$hf_mig$\KB924270\update\update.exe
C:\WINDOWS\$hf_mig$\KB924496\update\update.exe
C:\WINDOWS\$hf_mig$\KB925486\update\update.exe
C:\WINDOWS\$hf_mig$\KB925902\update\update.exe
C:\WINDOWS\$hf_mig$\KB926255\update\update.exe
C:\WINDOWS\$hf_mig$\KB926436\update\update.exe
C:\WINDOWS\$hf_mig$\KB927779\update\update.exe
C:\WINDOWS\$hf_mig$\KB927802\update\update.exe
C:\WINDOWS\$hf_mig$\KB927891\update\update.exe
C:\WINDOWS\$hf_mig$\KB928255\update\update.exe
C:\WINDOWS\$hf_mig$\KB928843\update\update.exe
C:\WINDOWS\$hf_mig$\KB929123\update\update.exe
C:\WINDOWS\$hf_mig$\KB929338\update\update.exe
C:\WINDOWS\$hf_mig$\KB930178\update\update.exe
C:\WINDOWS\$hf_mig$\KB930916\update\update.exe
C:\WINDOWS\$hf_mig$\KB931261\update\update.exe
C:\WINDOWS\$hf_mig$\KB931768-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB931784\update\update.exe
C:\WINDOWS\$hf_mig$\KB931836\update\update.exe
C:\WINDOWS\$hf_mig$\KB932823-v3\update\update.exe
C:\WINDOWS\$hf_mig$\KB933360\update\update.exe
C:\WINDOWS\$hf_mig$\KB933566-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB935448\update\update.exe
C:\WINDOWS\$hf_mig$\KB935839\update\update.exe
C:\WINDOWS\$hf_mig$\KB935840\update\update.exe
C:\WINDOWS\$hf_mig$\KB936021\update\update.exe
C:\WINDOWS\$hf_mig$\KB936357\update\update.exe
C:\WINDOWS\$hf_mig$\KB937143-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB938464\update\update.exe
C:\WINDOWS\$hf_mig$\KB938828\update\update.exe
C:\WINDOWS\$hf_mig$\KB938829\update\update.exe
C:\WINDOWS\$hf_mig$\KB939653-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB941202\update\update.exe
C:\WINDOWS\$hf_mig$\KB941568\update\update.exe
C:\WINDOWS\$hf_mig$\KB941644\update\update.exe
C:\WINDOWS\$hf_mig$\KB941693\update\update.exe
C:\WINDOWS\$hf_mig$\KB942615-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB942763\update\update.exe
C:\WINDOWS\$hf_mig$\KB943055\update\update.exe
C:\WINDOWS\$hf_mig$\KB943485\update\update.exe
C:\WINDOWS\$hf_mig$\KB944533-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB944653\update\update.exe
C:\WINDOWS\$hf_mig$\KB945553\update\update.exe
C:\WINDOWS\$hf_mig$\KB946026\update\update.exe
C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
C:\WINDOWS\$hf_mig$\KB947864-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB948590\update\update.exe
C:\WINDOWS\$hf_mig$\KB948881\update\update.exe
C:\WINDOWS\$hf_mig$\KB950749\update\update.exe
C:\WINDOWS\$hf_mig$\KB950759-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB950760\update\update.exe
C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
C:\WINDOWS\$hf_mig$\KB951066\update\update.exe
C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951698\update\update.exe
C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
C:\WINDOWS\$hf_mig$\KB952004\update\update.exe
C:\WINDOWS\$hf_mig$\KB952287\update\update.exe
C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
C:\WINDOWS\$hf_mig$\KB953838-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB953839\update\update.exe
C:\WINDOWS\$hf_mig$\KB954211\update\update.exe
C:\WINDOWS\$hf_mig$\KB954459\update\update.exe
C:\WINDOWS\$hf_mig$\KB954600\update\update.exe
C:\WINDOWS\$hf_mig$\KB955069\update\update.exe
C:\WINDOWS\$hf_mig$\KB955839\update\update.exe
C:\WINDOWS\$hf_mig$\KB956390-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB956391\update\update.exe
C:\WINDOWS\$hf_mig$\KB956572\update\update.exe
C:\WINDOWS\$hf_mig$\KB956802\update\update.exe
C:\WINDOWS\$hf_mig$\KB956803\update\update.exe
C:\WINDOWS\$hf_mig$\KB956841\update\update.exe
C:\WINDOWS\$hf_mig$\KB957095\update\update.exe
C:\WINDOWS\$hf_mig$\KB957097\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB958644\update\update.exe
C:\WINDOWS\$hf_mig$\KB958687\update\update.exe
C:\WINDOWS\$hf_mig$\KB958690\update\update.exe
C:\WINDOWS\$hf_mig$\KB959426\update\update.exe
C:\WINDOWS\$hf_mig$\KB960225\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB960715\update\update.exe
C:\WINDOWS\$hf_mig$\KB960803\update\update.exe
C:\WINDOWS\$hf_mig$\KB961260-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB961373\update\update.exe
C:\WINDOWS\$hf_mig$\KB963027-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB967715\update\update.exe
C:\WINDOWS\$hf_mig$\KB968220-IE8\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\011cdeb527c0ded3735dde8070aaf659\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\1d668742c27d338896714b80f03e1eed\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\1f0ff9cd77277bbfa312e709c95b4b39\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\3a1d8e64bc90f94be334f8504a133e13\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\3f33a96dfd9bd3fe31871bf8d0cf4c8a\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\550530d3b934e720deb3ca1851e75ba0\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\57358f9e879e0fe843b63dd3c8074512\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\b1ef3ed8a687c06f0c1cdd838fe9a61a\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\ce3fdd705c204e10a3af0769e281cace\update\update.exe
C:\WINDOWS\system32\dllcache\register.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.728 ! ]
0
Réponse 2 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 16:02
Avast et Spy Bot ont souffert.
Tu vas devoir les réinstaller.
ensuite, pour voir s'il y a d'autres problèmes :

• Télécharge Random's System Information Tool (RSIT) de Random / Random et sauvegarde-le sur ton Bureau,

-> http://images.malwareremoval.com/random/RSIT.exe

• Double-clique sur RSIT.exe pour lancer le programme,
• Clique sur continuer sur l'écran Disclaimer,
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Tuto si besoin : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
0
Kaleb33
2 mai 2009 à 16:27
J'ai déjà récupérer certains trucs. Par contre findykill ne m'a jamais mis le message "Nettoyage effectué et je n'ai pas eu à appuyer sur ok. Est-ce normal ? Voivi les rapports

Log
Logfile of random's system information tool 1.06 (written by random/random)
Run by Kaleb at 2009-05-02 16:23:20
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 5 GB (23%) free of 20 GB
Total RAM: 1014 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:23:41, on 02/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Registry Mechanic\RegMech.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kaleb\Bureau\RSIT.exe
C:\Program Files\trend micro\Kaleb.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.1:8888
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: LTIEHelper Class - {905502AB-1987-46cd-9EC5-42B1E087D319} - C:\Program Files\EasyPrediction\2.0\ltie.dll
O2 - BHO: Google Plus - {C8CD2017-F1E5-4F1A-B58A-EE0B1AF0D0D8} - C:\PROGRA~1\GOOGLE~1\13GOOG~1.DLL
O3 - Toolbar: (no name) - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RegMech.exe /H
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-1454471165-1957994488-1343024091-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Théo')
O4 - HKUS\S-1-5-21-1454471165-1957994488-1343024091-1005\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime (User 'Théo')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by130fd.bay130.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15105/CTPID.cab
O20 - Winlogon Notify: dimap32 - dimap32.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 3 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 16:34
Tu as une autre infection :

Télécharge UsbFix de chiquitine29 sur ton bureau

http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe


--> Lance l installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Choisis l’option 1 (nettoyage)

--> Le PC va redémarrer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valide
0
Kaleb33
2 mai 2009 à 16:43
L'option 1 c'est recherche. L'option 2 c'est suppression. Laquelle je choisis ?
0
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230 > Kaleb33
2 mai 2009 à 16:45
Pardon, oui ;-) : option 1 recherche.
0
Kaleb33 > toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010
2 mai 2009 à 16:49
Voici le rapport


############################## [ UsbFix V3.016 # Scan ]

# User : Kaleb (Administrateurs) # KALEB
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 16:47:17 | 02/05/2009

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090429-0] 4.8.1335 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 19,53 Go (4,53 Go free) # NTFS
# D:\ # Disque fixe local # 73,62 Go (4,71 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 955,72 Mo (280,27 Mo free) [KALEB33] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Registry Mechanic\RegMech.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="https://outlook.live.com/owa/"
HKCU_Main: "Start Page Redirect Cache_TIMESTAMP"=hex:00,d6,2c,e2,f4,c8,c9,01
HKCU_Main: "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
HKCU_Main: "Start Page Redirect Cache AcceptLangs"="fr"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Kaleb"
HKLM_logon: "AltDefaultUserName"="Kaleb"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: AGRSMMSG=AGRSMMSG.exe
HKLM_Run: igfxtray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: igfxpers=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: Windows Defender="C:\Program Files\Windows Defender\MSASCui.exe" -hide
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: PinnacleDriverCheck=C:\WINDOWS\system32\\PSDrvCheck.exe
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: RegistryMechanic=C:\Program Files\Registry Mechanic\RegMech.exe /H
HKCU_Run: SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! F:\ravmone.exe
Found ! F:\adober.exe
Found ! F:\msvcr71.dll

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{1be5a7b1-90fc-11dc-acc1-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{26cbc9e0-e3d2-11dd-b09e-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{26cbc9e0-e3d2-11dd-b09e-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{61769520-61c7-11dc-ac59-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{73488728-309a-11dd-ae60-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{7e130887-b5b9-11db-aaa2-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{7e130887-b5b9-11db-aaa2-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{826370e6-c680-11db-aad1-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{826370e6-c680-11db-aad1-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{873cd600-2707-11dd-ae43-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{873cd600-2707-11dd-ae43-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{8866aae2-0dab-11dc-abb3-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{8866aae2-0dab-11dc-abb3-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{929798c1-5df4-11dc-ac50-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{929798c1-5df4-11dc-ac50-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{929798c2-5df4-11dc-ac50-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{929798c2-5df4-11dc-ac50-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{aa4aca80-bac5-11dd-b00d-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{aa4aca80-bac5-11dd-b00d-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{ba3ecaf0-0d19-11dd-adff-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{ba3ecaf0-0d19-11dd-adff-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{bf5be880-bc69-11dd-b016-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{bf5be880-bc69-11dd-b016-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{d16d1d50-a7f0-11dc-ad08-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{d7c59512-2664-11dd-ae3f-0016365a8d54}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{d7c59512-2664-11dd-ae3f-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{e3a84c41-2da8-11de-b182-0016365a8d54}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{e3a84c41-2da8-11de-b182-0016365a8d54}\Shell\open\Command
HKCU\Software\Microsoft\....\MountPoints2\{fd7dfd04-079b-11dd-adf2-0016365a8d54}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.016 ! ]
0
Réponse 4 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 16:51
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l’opion 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l’outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Kaleb33
2 mai 2009 à 17:03
Voici le rapport après étape 2


############################## [ UsbFix V3.016 # Cleaning ]

# User : Kaleb (Administrateurs) # KALEB
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 16:55:46 | 02/05/2009

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090429-0] 4.8.1335 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 19,53 Go (4,52 Go free) # NTFS
# D:\ # Disque fixe local # 73,62 Go (4,71 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 955,72 Mo (280,25 Mo free) [KALEB33] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! F:\ravmone.exe
Deleted ! F:\adober.exe
Deleted ! F:\msvcr71.dll

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{1be5a7b1-90fc-11dc-acc1-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{26cbc9e0-e3d2-11dd-b09e-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{61769520-61c7-11dc-ac59-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{73488728-309a-11dd-ae60-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{7e130887-b5b9-11db-aaa2-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{826370e6-c680-11db-aad1-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{873cd600-2707-11dd-ae43-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{8866aae2-0dab-11dc-abb3-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{929798c1-5df4-11dc-ac50-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{929798c2-5df4-11dc-ac50-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{aa4aca80-bac5-11dd-b00d-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{ba3ecaf0-0d19-11dd-adff-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{bf5be880-bc69-11dd-b016-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{d16d1d50-a7f0-11dc-ad08-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{d7c59512-2664-11dd-ae3f-0016365a8d54}\Shell\Auto\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{e3a84c41-2da8-11de-b182-0016365a8d54}\Shell\AutoRun\command
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{fd7dfd04-079b-11dd-adf2-0016365a8d54}\Shell\AutoRun\command

################## [ Listing des fichiers présent ]

[15/04/2007 20:09|--a------|0] - C:\adorage-protocol.txt
[25/06/2007 19:45|--a------|139] - C:\AUTOEXEC.BAT
[20/04/2009 01:08|-rahs----|216] - C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
[17/12/2006 18:11|--a------|0] - C:\CONFIG.SYS
[22/09/2008 18:46|--a------|8444] - C:\CTMeasureTiming.ini
[24/06/2008 07:38|--a------|93123] - C:\debug.log
[08/10/2007 14:15|--a------|184] - C:\drwtsn32.log
[03/04/2009 19:47|--a------|7784] - C:\emule_RE.txt
[02/05/2009 15:56|--a------|17672] - C:\FindyKill.txt
[14/04/2007 14:33|--a------|1090] - C:\INSTALL.LOG
[17/12/2006 18:11|-rahs----|0] - C:\IO.SYS
[24/03/2009 01:57|--a------|733521920] - C:\Mirrors French Dvdrip Xvid-Repulsion Cd1 Lcktm.avi
[17/12/2006 18:11|-rahs----|0] - C:\MSDOS.SYS
[17/12/2006 18:55|-rahs----|47564] - C:\NTDETECT.COM
[01/10/2008 15:00|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[03/04/2009 15:11|--a------|4928] - C:\PERF.LOG
[10/01/2001 12:23|--a------|162304] - C:\UNWISE.EXE
[02/05/2009 16:56|--a------|4927] - C:\UsbFix.txt
[09/01/2007 00:53|--a------|27262976] - C:\VIRTPART.DAT
[12/02/2009 09:27|--a------|286046] - D:\14.02.09.pdf
[30/06/2008 18:41|--a------|49152] - D:\CM1 tableaux moy 3Šme trim 2007-2008.xls
[03/04/2009 10:45|--a------|275968] - D:\cm1 ‚val bulletin 2Šme trim 2008- 2009.doc
[03/03/2009 12:39|--a------|11776] - D:\d‚penses mensuelles.xls
[05/09/2008 14:03|--a------|117248] - D:\eval_CM1_2008_bourran.xls
[20/09/2008 13:21|--a------|28672] - D:\Information modem num‚ricable.doc
[30/04/2009 12:04|--a------|1478] - F:\BOOTEX.LOG
[03/04/2009 15:49|--a------|25088] - F:\Renseignements sur la commande studio 10.doc
[25/03/2009 18:33|--a------|141824] - F:\dossier stagiaire 2.doc
[05/04/2009 22:46|--a------|35328] - F:\cm1 maths problŠmes le‡on d‚marche problŠme.doc
[21/04/2009 14:29|--a------|46080] - F:\planning cours particuliers.doc
[05/04/2009 22:53|--a------|25600] - F:\fiche r‚diger une r‚ponse de problŠme.doc
[12/04/2008 20:29|--a------|512000] - F:\cm1 eps pr‚pa danser sur la pulsation.doc
[10/04/2009 13:42|--a------|157696] - F:\cm1 maths pbs pr‚pa ecrire la solution.doc
[01/05/2009 09:21|--a------|59915] - F:\EliBaglA.exe
[01/05/2009 09:35|--a------|3012443] - F:\bibitte.exe
[29/01/2009 02:51|--a------|229] - F:\Bienvenue sur eMule-Island !.url
[02/05/2009 16:24|--a------|33328] - F:\log.txt
[01/05/2009 10:45|--a------|401720] - F:\HiJackThis.exe
[17/12/2006 18:40|--a------|274425064] - F:\WindowsXP-KB835935-SP2-FRA.exe
[02/05/2009 13:38|--a------|132] - F:\Rapport - GenProc[1].URL
[02/05/2009 14:24|--a------|8961] - F:\FindyKill rapport.txt
[02/05/2009 15:57|--a------|17672] - F:\FindyKill 2.txt
[02/05/2009 16:24|--a------|21970] - F:\info.txt
[02/05/2009 16:48|--a------|7193] - F:\UsbFix.txt

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# F:\autorun.inf -> Folder created by UsbFix.

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.016 ! ]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 17:30
Bien.
Encore de la vermine éliminée.
Comment se comporte ton PC ?
0
Kaleb33
2 mai 2009 à 18:45
Pardon pour le retard. Beaucoup mieux puisque tout refonctionne. J'ai récupéré mon périphérique audio. Mes programmes se relancent.... C'est le pied. Je te remercie énormément. Dans mes recherches j'avais vu qu'on pouvait utiliser combifix. Qu'en penses-tu ?
0
Kaleb33
2 mai 2009 à 18:46
Par contre effectivement avast est out. Que dois-je faire de tout ce que j'ai installé ?
0
Réponse 6 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 18:48
ComboFix est un programme puissant à n'utiliser que dans les cas où il est vraiment nécessaire.
Pour Bagle, Findykill est extra.

On va faire un nettoyage général pour éliminer des résidus éventuels :

Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

Dans l'onglet analyse, vérifie que "Exécuter un examen rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

Lorsque le message indiquant la fin de l’analyse s’affiche, clique sur « Afficher le résultat » pour poursuivre..

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport sur le forum.
0
Kaleb33
2 mai 2009 à 19:57
Voici le dernier rapport :

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1945
Windows 5.1.2600 Service Pack 3

02/05/2009 19:54:19
mbam-log-2009-05-02 (19-54-19).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 163410
Temps écoulé: 54 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 14
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\googleplusvideos.bhobridge (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e3cfdfe-79c8-4225-81b9-20fc99da6972} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c8cd2017-f1e5-4f1a-b58a-ee0b1af0d0d8} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c8cd2017-f1e5-4f1a-b58a-ee0b1af0d0d8} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c8cd2017-f1e5-4f1a-b58a-ee0b1af0d0d8} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{a5b0779f-0a3e-482e-bb31-b7b871599f60} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5106ed5c-7245-4f5a-abca-67b0c15333d2} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{99e0eee5-14c5-46d3-878b-7da2663e1a92} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{aef427e4-b0d8-4457-b437-c72f0921fe39} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ec26f9c5-812f-4cec-90e2-343e85564ddd} (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\googleplusvideos.bhobridge.1 (Hijack.Search) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\GooglePlusVideos\13.GooglePlusVideos.dll (Hijack.Search) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP823\A0204388.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP823\A0204406.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP823\A0204484.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP824\A0204493.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP824\A0204507.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0204551.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0204568.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0205570.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0205586.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0206586.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0207586.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0208586.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP825\A0208601.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7AB6FC5-0E13-48C5-88E8-CDDF850D909C}\RP826\A0208805.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.


Là je m'en vais. Je lirai votre réponse en rentrant si vous n'en avez pas marre de toute cette lecture. Merci encore. Quel coup de main ! Savez-vous s'il existe des formations pour permettre de comprendre ces fameux rapports et ne plus déranger toujours les mêmes personnes ?
0
Réponse 7 / 7
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 230
2 mai 2009 à 20:05
Ta restauration était infectée aussi.

Avais-tu téléchargé des cracks recemment ? C'est de là que viens Bagle.

Maintenant que l'ordinateur semble propre on va nettoyer la restauration :

# Maintenant que ton ordinateur est propre je te conseille de créer un point de restauration sain, comme ça en cas de probleme (bug , plantage ..ect) tu pourras toujours revenir en arriere

Désactive ta "Restauration du système" puis réactive la.

(1) Désactivation

Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs" => Appliquer .

Patiente jusqu'a que cela soit marqué "désactivée" puis Ok.

(2) Activation

Suis le même chemin, décoche la case "Désactiver la Restauration du système sur tous les lecteurs" => Appliquer

Attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur !



Ensuite, nettoyage du registre :

* Télécharge CCleaner.
(attention à l'installation penser à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

https://www.pcastuces.com/logitheque/ccleaner.htm
https://www.commentcamarche.net/telecharger/ 168 ccleaner

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "
--- Contrôler les mises à jour

* Lance Ccleaner pour un nettoyage complet :

Déconnecte-toi et ferme toutes les applications en cours
* va dans "nettoyeur" : fait analyse puis nettoyage
* va dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

Tutorial ici :
https://kerio.probb.fr/
https://www.malekal.com/tutoriel-ccleaner/
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


Il existe des formations pour apprendre la désinfection mais c'est un travail de longue haleine auquel il faut consacrer beaucoup de temps.
0
Kaleb33
3 mai 2009 à 12:44
Bonjour. Merci pour la réponse. Rentré tard, levé tard, lecture tardive. J'ai essayé de désactiver la restauration, ai suivi les instructions mais je ne peux accéder à la case. J'ai cru comprendre que pour désactiver C: il fallait que je désactive les autres (car mon disque dur est partitionné) or même lorsque je désactive D: il ne veut rien savoir. Que dois-je faire. Si tu es toujours dispo bien sûr.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus détecté
Koony -
MisteryBean -

6 réponses