Sujet Précédent Sujet Suivant

Pb avast application win 32 non valide

Madchild83 -  
 Utilisateur anonyme -
Bonjour,
voila j'ai un piti problème avec avast, impossible de l'utiliser j'ai vu pas mal de post a ce sujet, j'ai telecharger elibagla, je poste mon rapport sergent!

(27-5-2009 18:40:26)
EliBagle v12.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\DOWNLD\323812.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\DOWNLD\328031.EXE --> Eliminado Bagle.dldr
Eliminada Carpeta "%WinSys%\Drivers\Downld"
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(27-5-2009 18:49:0)
EliBagle v12.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Program Files\NVIDIA Corporation\nTune\NTUNECMD.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\659546.EXE --> Eliminado Bagle

Nº Total de Directorios: 10868
Nº Total de Ficheros: 139097
Nº de Ficheros Analizados: 10825
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

voila merci! :)
A voir également:

15 réponses

Réponse 1 / 15
Utilisateur anonyme
 
*****************************************************
************** Option 1 (Recherche) **************
*****************************************************

Télécharge FindyKill ( de Chiquitine29) sur ton bureau :

! Déconnecte toi et ferme toutes applications en cours !

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images ( Installation )
Aides en images ( Recherche )
0
Réponse 2 / 15
madchild83
 
wouahouh merci pour la réponse aussi rapide!!! merci beaucoup :)
voila le rapport sergent!

############################## [ FindyKill V4.730 ]

# User : Administrateur (Administrateurs) # IND_PC
# Update on 25/05/09 by Chiquitine29
# Start at: 21:16:07 | 27/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090526-0] 4.8.1335 [ (!) Disabled | Updated ]
# AV : Kaspersky Anti-Virus 7.0.0.125 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 189,91 Go (34,62 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# G:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\DeltTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe" (2160)
"C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe" (3248)
"C:\WINDOWS\system32\wintems.exe" (2856)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\WINDOWS\Prefetch\1138296.EXE-2DEA46E8.pf
Found ! C:\WINDOWS\Prefetch\323812.EXE-265FE076.pf
Found ! C:\WINDOWS\Prefetch\328031.EXE-0F0C7296.pf
Found ! C:\WINDOWS\Prefetch\658421.EXE-2CBD3E14.pf
Found ! C:\WINDOWS\Prefetch\663656.EXE-2883D7AF.pf
Found ! C:\WINDOWS\Prefetch\949125.EXE-05410648.pf
Found ! C:\WINDOWS\Prefetch\FLEC006.EXE-0695BA6E.pf
Found ! C:\WINDOWS\Prefetch\KEYGEN.EXE-170D87E4.pf
Found ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Found ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Found ! C:\WINDOWS\system32\ban_list.txt
Found ! C:\WINDOWS\system32\mdelk.exe
Found ! C:\WINDOWS\system32\wintems.exe
Found ! C:\WINDOWS\system32\drivers\down
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers\downld"
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys"
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"

################## [ Infected Temp Files ]

Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3RT3RDWW\b64[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3RT3RDWW\b64_3[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4VJRI0XL\file[1].txt
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EFQB6TEZ\b64_6[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IPH27UHS\b64_3[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\N10K0ZNB\b64_1[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Q5JS98BA\ieps[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\ZQ8N3LKD\b64[1].jpg

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\bisoft
Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\DateTime4
Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\FFC
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\DateTime4
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Found ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

Found ! C:\InfoSat.txt

################## [ Registre / Mountpoints2 ]

Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{292d8553-b163-11dc-a656-001a9263e1b5}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{30685756-2fc2-11dd-9795-001a9263e1b5}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f7d3c30-5187-11dc-9fcf-001a9263e1b5}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6536b29e-50c6-11dd-97c2-001a9263e1b5}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e2ba230f-da81-11dd-98b1-001a9263e1b5}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f89fdae8-d980-11dd-98ae-001a9263e1b5}\Shell\AutoRun\command

################## [ ! Fin du rapport # FindyKill V4.730 ! ]
0
Réponse 3 / 15
Utilisateur anonyme
 
c'est ca qui t'a fait mal :

KEYGEN.EXE

Il s'agit de Bagle et cette infection arrive lorsque tu télécharges des cracks ou keygens, je te conseille donc de les supprimer si tu en as encore et eviter dorénavant d'en telecharger pour eviter que cette infection ne se réïtère.

*****************************************************
************* Option 2 (Suppression) *************
*****************************************************

! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images ( Suppression )
0
Réponse 4 / 15
madchild83
 
Dsl j'ai dû m'absenter un peu... (match oblige lol)
donc c'est ces keygen qui foute le bordel! j'ferai gaff maintenant, mais j'aimerais savoir, si c'est pas trop demander, comment tu vois dans le rapport qui est coupable...? En attendant au rapport! lol

############################## [ FindyKill V4.730 ]

# User : Administrateur (Administrateurs) # IND_PC
# Update on 25/05/09 by Chiquitine29
# Start at: 22:42:15 | 27/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090526-0] 4.8.1335 [ (!) Disabled | Updated ]
# AV : Kaspersky Anti-Virus 7.0.0.125 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 189,91 Go (34,8 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# G:\ # Disque CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\Prefetch\1138296.EXE-2DEA46E8.pf
Deleted ! C:\WINDOWS\Prefetch\323812.EXE-265FE076.pf
Deleted ! C:\WINDOWS\Prefetch\328031.EXE-0F0C7296.pf
Deleted ! C:\WINDOWS\Prefetch\658421.EXE-2CBD3E14.pf
Deleted ! C:\WINDOWS\Prefetch\663656.EXE-2883D7AF.pf
Deleted ! C:\WINDOWS\Prefetch\949125.EXE-05410648.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-0695BA6E.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf
Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! C:\WINDOWS\system32\drivers\down
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers\downld"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m"

################## [ Infected Temp Files ]

Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3RT3RDWW\b64[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3RT3RDWW\b64_3[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4VJRI0XL\file[1].txt
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EFQB6TEZ\b64_6[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IPH27UHS\b64_3[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\N10K0ZNB\b64_1[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Q5JS98BA\ieps[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\ZQ8N3LKD\b64[1].jpg

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1606980848-842925246-725345543-500\Software\FFC
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

Deleted ! C:\InfoSat.txt

################## [ Registry / Mountpoint2 ]

Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{292d8553-b163-11dc-a656-001a9263e1b5}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{30685756-2fc2-11dd-9795-001a9263e1b5}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f7d3c30-5187-11dc-9fcf-001a9263e1b5}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6536b29e-50c6-11dd-97c2-001a9263e1b5}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e2ba230f-da81-11dd-98b1-001a9263e1b5}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f89fdae8-d980-11dd-98ae-001a9263e1b5}\Shell\AutoRun\command

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
CRC32 .. : 151c4e43
MD5 .... : bd52f90dcdacfbad0d1e59edc5977d7e

# -> Nothing found.

################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\ASUS\AsusUpdate\Update.exe
C:\Program Files\Red Kawa\Video Converter\uninstaller.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.730 ! ]

Par contre avant de faire le scan j'ai supprimer les keygens que j'ai trouvé... je sais pas si c'est bien ou pas =S
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
Utilisateur anonyme
 
il l'aurait fait lui de toutes facons :)

j'ai compris que c'etait cette infection car c'est une des seules qui desactivent l'antivirus :)

*****************************************************
*************** Option 3 (Uninstal) ****************
*****************************************************

* Relance "FindyKill" : au menu principal choisis l'option " F " et tape sur [entrée] .

* Au second menu choisis l'option 3 et tape sur [entrée] .

* Clique sur ok quand l avertissement apparait.

ensuite :

######## | XP _ Instal & recherche | #######

Telecharge et install UsbFix (de C_XX & Chiquitine29)

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0
Réponse 6 / 15
madchild83
 
D'accord! j'comprend mieux parce que tous ces rapport c du charabia pour moi... lol
Rapport!

############################## [ UsbFix V3.026 | Scan ]

# User : Administrateur (Administrateurs) # IND_PC
# Update on 26/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 23:17:35 | 27/05/2009

# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090526-0] 4.8.1335 [ (!) Disabled | Updated ]
# AV : Kaspersky Anti-Virus 7.0.0.125 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 189,91 Go (35,1 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# G:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\DeltTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.fr/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
HKLM_Run: High Definition Audio Property Page Shortcut=HDAShCut.exe
HKLM_Run: HPDJ Taskbar Utility=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
HKLM_Run: HP Software Update=C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
HKLM_Run: DeviceDiscovery=C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
HKLM_Run: ADUserMon=C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
HKLM_Run: Iomega Drive Icons=C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
HKLM_Run: Deskup=C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
HKLM_Run: SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
HKLM_Run: SoundMAX="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
HKLM_Run: H2O=C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
HKLM_Run: DeltTray=DeltTray.exe
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: NVIDIA nTune="C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

################## [ Fichiers # Dossiers infectieux ]

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{0c957796-991a-11dc-a623-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{15b345cf-f67d-11dc-9738-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{15b345cf-f67d-11dc-9738-001a9263e1b5}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{15b345cf-f67d-11dc-9738-001a9263e1b5}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{292d8553-b163-11dc-a656-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{30685756-2fc2-11dd-9795-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{30685756-2fc2-11dd-9795-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{33bc46df-892e-11dc-a60e-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{33bc46df-892e-11dc-a60e-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{3d0ee940-6796-11dd-97e2-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{3d0ee940-6796-11dd-97e2-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{49469f32-dd6c-11dc-9713-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{49469f32-dd6c-11dc-9713-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{57bc8510-b6d7-11dc-a65f-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{57bc8510-b6d7-11dc-a65f-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{5e31a42d-b3a3-11dc-a65b-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{5e31a42d-b3a3-11dc-a65b-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{5f7d3c30-5187-11dc-9fcf-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{5f7d3c30-5187-11dc-9fcf-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{6536b29e-50c6-11dd-97c2-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{6536b29e-50c6-11dd-97c2-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{6eb4c9e0-ac95-11dc-a64e-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{6eb4c9e0-ac95-11dc-a64e-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{7c554b35-e2ba-11dc-971b-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{7c554b35-e2ba-11dc-971b-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{88bbcf4a-c765-11dc-96ed-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{88bbcf4a-c765-11dc-96ed-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{9f7e3e06-4f2a-11dc-9fcb-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{bc479736-bc5c-11dc-96de-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{bc479736-bc5c-11dc-96de-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{c249f697-1ef6-11dc-aad1-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{c249f697-1ef6-11dc-aad1-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{e2ba230f-da81-11dd-98b1-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{e2ba230f-da81-11dd-98b1-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{e56b1dd6-8ac2-11dc-a610-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{e56b1dd6-8ac2-11dc-a610-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f20c2608-b007-11dd-9860-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f20c2608-b007-11dd-9860-001a9263e1b5}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{f20c2608-b007-11dd-9860-001a9263e1b5}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{f5407615-cb47-11dc-96f3-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{f5407615-cb47-11dc-96f3-001a9263e1b5}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f89fdae8-d980-11dd-98ae-001a9263e1b5}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{f89fdae8-d980-11dd-98ae-001a9263e1b5}\Shell\AutoRun\Command

################## [ Informations # Fichier Suspect ]

################## [ Cracks # Keygens # Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.026 ! ]
0
Réponse 7 / 15
Utilisateur anonyme
 
######## | Suppression | ########

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

######### | Désinstallation | #######

# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option Désinstaller ....
0
Réponse 8 / 15
madchild83
 
Re! voila le rapport chef!

############################## [ UsbFix V3.026 | Cleaning ]

# User : Administrateur (Administrateurs) # IND_PC
# Update on 26/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 23:37:56 | 27/05/2009

# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090526-0] 4.8.1335 [ (!) Disabled | Updated ]
# AV : Kaspersky Anti-Virus 7.0.0.125 [ Enabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 189,91 Go (35,13 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# G:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\\ "AntiVirusOverride" # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\{0c957796-991a-11dc-a623-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{15b345cf-f67d-11dc-9738-001a9263e1b5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{292d8553-b163-11dc-a656-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{30685756-2fc2-11dd-9795-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{33bc46df-892e-11dc-a60e-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{3d0ee940-6796-11dd-97e2-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{49469f32-dd6c-11dc-9713-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{57bc8510-b6d7-11dc-a65f-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{5e31a42d-b3a3-11dc-a65b-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{5f7d3c30-5187-11dc-9fcf-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6536b29e-50c6-11dd-97c2-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6eb4c9e0-ac95-11dc-a64e-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{7c554b35-e2ba-11dc-971b-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{88bbcf4a-c765-11dc-96ed-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{9f7e3e06-4f2a-11dc-9fcb-001a9263e1b5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{bc479736-bc5c-11dc-96de-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{c249f697-1ef6-11dc-aad1-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{e2ba230f-da81-11dd-98b1-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{e56b1dd6-8ac2-11dc-a610-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f20c2608-b007-11dd-9860-001a9263e1b5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f5407615-cb47-11dc-96f3-001a9263e1b5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f89fdae8-d980-11dd-98ae-001a9263e1b5}\Shell\Auto\Command

################## [ Listing des fichiers présent ]

[20/06/2007 06:41|--a------|0] - C:\AUTOEXEC.BAT
[06/02/2008 22:04|-r-hs----|391] - C:\boot.ini
[31/10/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[20/06/2007 06:41|--a------|0] - C:\CONFIG.SYS
[15/05/2009 17:49|--a------|79573] - C:\hpfr3500.log
[20/06/2007 06:41|-rahs----|0] - C:\IO.SYS
[11/10/2007 20:24|--a------|17] - C:\log.txt
[11/10/2007 18:47|--a------|5893] - C:\lyra_log.txt
[20/06/2007 06:41|-rahs----|0] - C:\MSDOS.SYS
[31/10/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[31/10/2004 14:00|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[22/10/2007 21:14|--a------|1747] - C:\photodex-presenter-install.log
[09/09/2007 14:56|--a------|1209] - C:\rs-ff-install.html
[09/09/2007 14:56|--a------|2035] - C:\rsdl.xpi
[02/01/2009 20:33|--a------|0] - C:\Tech_Vista.log
[27/05/2009 23:38|--a------|5418] - C:\UsbFix.txt

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ Informations # Fichier Suspect ]

################## [ Cracks # Keygens # Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.026 ! ]
0
Réponse 9 / 15
Utilisateur anonyme
 
Pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:

Télécharges et installes le logiciel de diagnostic :

ici Hijackthis
ou ici Hijackthis
ou ici Hijackthis

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :(merci balltrap34)
Regardes ici, c'est parfaitement expliqué en images ,

2- !! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :

S'il ne se lance pas clique ici

fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

--->copies-colles le rapport généré pour analyse
0
Réponse 10 / 15
madchild83
 
Voila le rapport! =) merci beaucoup pr tes réponses

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:37:43, on 28/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\RunOnce: [gi1920482727] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\giQ5P28U.exe" /resume:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2LQ5P0ME" /exename:"C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\yoicfjmi.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\setupmconfig.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
0
Réponse 11 / 15
Utilisateur anonyme
 
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharges :

Malwarebytes

ou :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :

( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 12 / 15
madchild83
 
Bonjours! dsl j'me suis endormie hier comme un rien... lol
mais je poste mon rapport quand même ce matin sergent! lol

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2186
Windows 5.1.2600 Service Pack 2

28/05/2009 06:40:44
mbam-log-2009-05-28 (06-40-44).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 218529
Temps écoulé: 46 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{29a5ea88-29a5-ea88-29a5-ea8829a5ea88} (Worm.P2P) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\antispy (Rogue.AntiSpy) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088281.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088351.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088358.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088398.exe (Malware.Tool) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088406.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\rar.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\program files\antispy\xp-AntiSpy.exe (Rogue.AntiSpy) -> Quarantined and deleted successfully.
0
Réponse 13 / 15
madchild83
 
Bonjours! Dsl j'me suis endormie comme une rien hier soir... lol
mais je poste mon rapport ce matin quand même sergent! lol

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2186
Windows 5.1.2600 Service Pack 2

28/05/2009 06:40:44
mbam-log-2009-05-28 (06-40-44).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 218529
Temps écoulé: 46 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{29a5ea88-29a5-ea88-29a5-ea8829a5ea88} (Worm.P2P) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\antispy (Rogue.AntiSpy) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088281.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088351.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088358.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088398.exe (Malware.Tool) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4bd2b984-208b-4b2f-9b09-c5c990a287a1}\RP736\A0088406.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\rar.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\program files\antispy\xp-AntiSpy.exe (Rogue.AntiSpy) -> Quarantined and deleted successfully.
0
Réponse 14 / 15
madchild83
 
Bonsoir!!!
Merci beaucoup gen-hackman, j'ai réparer avast en clikant sur modifier/supprimer dans ajout de nouveaux logciel et j'ai pu le réparer! tout remarche sans pb et mon pc a repris une vitesse de croisière encore mieux! lol

Merci beaucoup!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Heureusement que les gens comme toi sont la pour aider des personnes qui sont dans un cas pareil =)

Peace!
0
Réponse 15 / 15
Utilisateur anonyme
 
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
0

Discussions similaires

Phishing faux mail d'avast
Colette34 -
Gerper -

2 réponses
problème reconnaissance url liste iptv avec smartiptv
jo56jo -
Farid43 -

8 réponses
arnaque de avast prelevement sans autorisation
petit -
Petittoune -

15 réponses