Sujet Précédent Sujet Suivant

3 virus destructeurs win32 sur mon PC

Résolu/Fermé
scorpioncf Messages postés 3 Date d'inscription dimanche 7 juin 2009 Statut Membre Dernière intervention 7 juin 2009 - 7 juin 2009 à 19:45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 24 juin 2009 à 20:02
Bonjour,

Depuis peu, j'ai 3 virus destructeurs et bloquants :

Trojan-Downloader.Win32.Bagle.auu
Email-Worm.Win32.Bagle.of
Trojan-Proxy.Win32.Mitglieder.ggj

Ils ont paralysés mon anti-virus, Spybot et Ad-Aware (message que l'exécutable n'est pas une application de win32). J'ai essayé de les neutraliser avec Ccleaner et Malwarebytes Anti-Malware en mode sans échec mais sans succès.

De plus, mon Vista Home Edition plante régulièrement (je sur un HP Pavilion A6221.fr et je sais, c'est la galère avec HP. J'en fait l'expérience en ce moment) et je vois sur ma box qu'il y a des transferts alors que je ne fait rien sur Internet et régulièrement là aussi, mon PC s'excite.

AU SECOURS.

J'ai besoin d'une solutions radicale d'un petit génie pour récupérer la situation et sauver mes données (100 Go).

Très cordialement,
Cédric.
A voir également:

48 réponses

Réponse 1 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 juin 2009 à 22:31
re,


la nouvelle version est dispo ... ^^



donc on va reprendre avec le nettoyage directe :


1- -Re-télécharge FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre le sur ton bureau et pas ailleurs !

!! Déconnecte toi et ferme toutes applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil ,
ignore l'alerte *.)

-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


- Important :
Branche toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...


--> clique droit / "executer entant qu'admin..." sur le raccourci " FindyKill " qui est sur ton bureau pour lancer l'outil ...


-> choisis directement l'option 2 .

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , clique sur " Ok " .

--> ensuite poste le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .


============================


2- refais un scan RSIT et poste le nouveau "log.txt" obtenu pour analyse et attends la suite ...



1
Réponse 2 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 juin 2009 à 19:57
Salut,


Infection par un Bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essaye surtout de te rappeler si récemment tu n'as pas cliquer sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)


2-Télécharge FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre le sur ton bureau et pas ailleurs !

!! Déconnecte toi et ferme toutes applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil ,
ignore l'alerte *.)

-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


Notes importantes :
> si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .

--> Double clique sur le raccourci " FindyKill " qui est sur ton bureau .
( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ).

-->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...

Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Tuto : https://www.malekal.com/tutorial-findykill/
Site de l'auteur : http://pagesperso-orange.fr/NosTools/findykill.html

0
Réponse 3 / 48
scorpioncf Messages postés 3 Date d'inscription dimanche 7 juin 2009 Statut Membre Dernière intervention 7 juin 2009
7 juin 2009 à 20:34
Bonjour,

Je confirme que je voulais tester un logiciel de type joiner. J'avais déjà tout sipprimer (cela à calmé mes ardeurs de geek)

J'ai lancé la recherche du logiciel dont tu m'as donné le lien et j'espère pouvoir sauver mes données car j'ai tous mes cours actuels sur mon PC :


############################## | FindyKill V5.001 |

# User : Céd (Administrateurs) # PC-DE-CÉD
# Update on 04/06/09 by Chiquitine29
# Start at: 20:28:05 | 07/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU E4400 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16473
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 327,89 Go (142,65 Go free) [HP] # NTFS
# D:\ # Disque fixe local # 7,46 Go (1020,19 Mo free) [FACTORY_IMAGE] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\WINDOWS\System32\jureg.exe
C:\Windows\system32\schtasks.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\hp\support\hpsysdrv.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Users\Céd\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\conime.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\SearchProtocolHost.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Users\Céd\AppData\Roaming\m\flec006.exe
C:\Windows\system32\wintems.exe
C:\Windows\system32\wbem\wmiprvse.exe

############################## | Processus infectieux stoppés |

"C:\Users\Céd\AppData\Roaming\drivers\winupgro.exe" (2244)
"C:\Users\Céd\AppData\Roaming\m\flec006.exe" (2060)
"C:\Windows\system32\wintems.exe" (4764)

################## | C: |


################## | C:\Windows |

Présent ! C:\Windows\Prefetch\109746.EXE-B9B5643E.pf
Présent ! C:\Windows\Prefetch\112320.EXE-6FB76DBC.pf
Présent ! C:\Windows\Prefetch\121103.EXE-DD9912DF.pf
Présent ! C:\Windows\Prefetch\125331.EXE-43D759AA.pf
Présent ! C:\Windows\Prefetch\171538.EXE-A7A9B47C.pf
Présent ! C:\Windows\Prefetch\212956.EXE-0C154C6C.pf
Présent ! C:\Windows\Prefetch\239867.EXE-91323BBE.pf
Présent ! C:\Windows\Prefetch\286807.EXE-E1A38982.pf
Présent ! C:\Windows\Prefetch\292174.EXE-639C875C.pf
Présent ! C:\Windows\Prefetch\29830495.EXE-D4188137.pf
Présent ! C:\Windows\Prefetch\351470.EXE-57012583.pf
Présent ! C:\Windows\Prefetch\93725.EXE-0093B489.pf

################## | C:\Windows\system32 |

Présent ! C:\Windows\system32\ban_list.txt
Présent ! C:\Windows\system32\mdelk.exe
Présent ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |


################## | C:\Users\C‚d\AppData\Roaming |

Présent ! C:\Users\C‚d\AppData\Roaming\drivers
Présent ! C:\Users\C‚d\AppData\Roaming\drivers\downld
Présent ! C:\Users\C‚d\AppData\Roaming\drivers\srosa2.sys
Présent ! C:\Users\C‚d\AppData\Roaming\drivers\wfsintwq.sys
Présent ! C:\Users\C‚d\AppData\Roaming\drivers\winupgro.exe
Présent ! C:\Users\C‚d\AppData\Roaming\m
Présent ! C:\Users\C‚d\AppData\Roaming\m\data.oct
Présent ! C:\Users\C‚d\AppData\Roaming\m\flec006.exe
Présent ! C:\Users\C‚d\AppData\Roaming\m\list.oct
Présent ! C:\Users\C‚d\AppData\Roaming\m\srvlist.oct
Présent ! C:\Users\C‚d\AppData\Roaming\m\shared

################## | C:\Users\C‚d\Temporary Internet Files |

Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_1[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_3[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\6VQFI1HT\b64_6[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64CAEZ5YB7.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[11].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_1[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3CA5V6MV2.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3CA94LKJ1.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3CADSKVME.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3CAWJERFQ.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3CAWKVRTL.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[11].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_3[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\b64_6[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\file[1].txt
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\7KEVS6AS\file[2].txt
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1CACARNZE.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1CAMS25I9.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1CAPRTLZW.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1CAWMKQO3.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[11].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_1[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_3[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_6[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_6[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_6[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_6[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\b64_6[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\ILCLIKPA\mxd[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_1[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_1[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_1[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_1[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_1[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_3[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_6[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_6[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_6[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\b64_6[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\file[1].txt
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\file[2].txt
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\mxd[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\PM7I3BSE\mxd[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64CAFWGYAQ.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[11].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_1[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3CAIOCG92.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3CAIYWSPH.jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[10].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[11].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[1].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[2].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[5].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[6].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[7].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[8].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_3[9].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_6[3].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\b64_6[4].jpg
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\file[1].txt
Présent ! C:\Users\C‚d\Local Settings\Temporary Internet Files\Content.IE5\RP0ILDT7\mxd[1].jpg

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\bisoft]
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\DateTime4]
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\FFC]
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\install_crack]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\Local AppWizard-Generated Applications\install_crack]
Présent ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | ! Fin du rapport # FindyKill V5.001 ! |

Cordialement,
Cédric
0
Réponse 4 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 juin 2009 à 20:38
bien ...

la suite :


1- Important :
Branche toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...


2- ! Ferme toutes applications en cours !

Relance FindyKill :

-> choisis cette fois-ci l'option 2 .

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , clique sur " Ok " .

--> ensuite poste le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .



PS2 : une fois cette manipe faite et le rapport posté , n'entreprends rien d'autre avec le PC et attends la suite des instructions ! ....

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 48
scorpioncf Messages postés 3 Date d'inscription dimanche 7 juin 2009 Statut Membre Dernière intervention 7 juin 2009
7 juin 2009 à 21:00
Salut,

Ce fut rapide est voici le rapport des résultats :

############################## | FindyKill V5.001 |

# User : Céd (Administrateurs) # PC-DE-CÉD
# Update on 04/06/09 by Chiquitine29
# Start at: 20:42:56 | 07/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU E4400 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16473
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 327,89 Go (143,45 Go free) [HP] # NTFS
# D:\ # Disque fixe local # 7,46 Go (1020,19 Mo free) [FACTORY_IMAGE] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 298,01 Go (1,58 Go free) [Elements] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHReconfSvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |

Supprimé ! J:\autorun.inf

################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\109746.EXE-B9B5643E.pf
Supprimé ! C:\Windows\Prefetch\112320.EXE-6FB76DBC.pf
Supprimé ! C:\Windows\Prefetch\121103.EXE-DD9912DF.pf
Supprimé ! C:\Windows\Prefetch\125331.EXE-43D759AA.pf
Supprimé ! C:\Windows\Prefetch\171538.EXE-A7A9B47C.pf
Supprimé ! C:\Windows\Prefetch\212956.EXE-0C154C6C.pf
Supprimé ! C:\Windows\Prefetch\239867.EXE-91323BBE.pf
Supprimé ! C:\Windows\Prefetch\286807.EXE-E1A38982.pf
Supprimé ! C:\Windows\Prefetch\292174.EXE-639C875C.pf
Supprimé ! C:\Windows\Prefetch\29830495.EXE-D4188137.pf
Supprimé ! C:\Windows\Prefetch\351470.EXE-57012583.pf
Supprimé ! C:\Windows\Prefetch\93725.EXE-0093B489.pf
Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-D30AFC52.pf

################## | C:\Windows\system32 |

Supprimé ! C:\Windows\system32\ban_list.txt
Supprimé ! C:\Windows\system32\mdelk.exe
Supprimé ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |


################## | C:\Users\C‚d\AppData\Roaming |

Supprimé ! C:\Users\C‚d\AppData\Roaming\drivers\srosa2.sys
Supprimé ! C:\Users\C‚d\AppData\Roaming\drivers\wfsintwq.sys
Supprimé ! C:\Users\C‚d\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\C‚d\AppData\Roaming\m\data.oct
Supprimé ! C:\Users\C‚d\AppData\Roaming\m\flec006.exe
Supprimé ! C:\Users\C‚d\AppData\Roaming\m\list.oct
Supprimé ! C:\Users\C‚d\AppData\Roaming\m\srvlist.oct
Supprimé ! C:\Users\C‚d\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\C‚d\AppData\Roaming\drivers
Supprimé ! C:\Users\C‚d\AppData\Roaming\m\shared
Supprimé ! C:\Users\C‚d\AppData\Roaming\m

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\C‚d\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 45e8db58 | Md5 : b33e5fc671d9c53698a4eeaca3460e1b

Supprimé ! C:\Users\C‚d\AppData\Local\Temp\7zOB4CA.tmp\install_crack.exe
-> Size : 847872 | Md5 : b33e5fc671d9c53698a4eeaca3460e1b

Cordialement,
Cédric
0
Réponse 6 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 juin 2009 à 21:06
re ,


le rapport n'est pas complet ... re-poste en entier stp ... ^^



ensuite fait ceci :


1- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


=============================

2- 1- Télécharge et installe le logiciel HijackThis :

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne lance pas ce prg pour l'instant et fais la suite ... )



2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )



0
Réponse 7 / 48
scorpioncf
7 juin 2009 à 21:40
Salut,

Pour Findykill, le rapport est tel que je l'ai trouvé sur le fichier sauvegardé et en relisant ce dernier, je confirme qu'il n'est pas complet. Premier raté.

Voici le rapport Log de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Céd at 2009-06-07 21:29:24
Microsoft® Windows Vista™ Édition Familiale Premium
System drive C: has 147 GB (44%) free of 336 GB
Total RAM: 3070 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:32, on 07/06/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\jureg.exe
C:\Windows\system32\schtasks.exe
C:\WINDOWS\RtHDVCpl.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Céd\Desktop\RSIT.exe
C:\Program Files\trend micro\Céd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [IS CfgWiz] "c:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Users\Céd\AppData\Roaming\drivers\winupgro.exe
O4 - HKCU\..\Run: [mule_st_key] C:\Users\Céd\AppData\Roaming\m\flec006.exe
O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Update Service (gupdate1c985d0bd778bf0) (gupdate1c985d0bd778bf0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
0
Réponse 8 / 48
scorpioncf
7 juin 2009 à 21:41
Voici le rapport Info de RSIT :

info.txt logfile of random's system information tool 1.06 2009-06-07 21:29:34

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
7-Zip 4.58 beta-->"C:\Program Files\7-Zip\Uninstall.exe"
ActiveCheck component for HP Active Support Library-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
Ad-Aware-->"C:\ProgramData\{2BAE6915-8510-4B9F-B498-02DA86258AA0}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\ProgramData\{2BAE6915-8510-4B9F-B498-02DA86258AA0}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.4 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81300000003}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
ANPSEDIC-->MsiExec.exe /X{5A682D37-E093-40A0-BF74-A4A6D1861B92}
Apple Mobile Device Support-->MsiExec.exe /I{976C2B2A-CE59-4AB3-83FB-BF895E28F2E6}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
ccc-Branding-->MsiExec.exe /I{4F027497-15AE-4DE5-B3BC-8E721C6127DE}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\epupdate.exe /r
FindyKill-->C:\FindyKill\Uninstal.exe
Free Video Converter V 2.0-->"C:\Program Files\Free Video Converter\unins000.exe"
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_9DE96A29E721D90A.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HP Active Support Library 32 bit components-->MsiExec.exe /I{6D3DB611-D5E8-4E4B-8952-0D3F549F9CC6}
HP Active Support Library-->C:\Program Files\InstallShield Installation Information\{0A47BAFF-D4FF-4BD3-96CA-02A22EA62722}\setup.exe -runfromtemp -l0x0409
HP Customer Experience Enhancements-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB5E289E-76BF-4251-9F3F-9B763F681AE0}\setup.exe" -l0x9 -removeonly
HP Customer Feedback-->MsiExec.exe /I{9DBA770F-BF73-4D39-B1DF-6035D95268FC}
HP Easy Setup - Frontend-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40F7AED3-0C7D-4582-99F6-484A515C73F2}\setup.exe" -l0x9 -removeonly
HP On-Screen Cap/Num/Scroll Lock Indicator-->C:\Windows\system32\OsdRemove.exe
HP Photosmart Essential 2.01-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
HP Total Care Advisor-->MsiExec.exe /X{0DDA7620-4F8B-43B3-8828-CA5EE292FA3B}
HP Update-->MsiExec.exe /X{7059BDA7-E1DB-442C-B7A1-6144596720A4}
HPAsset component for HP Active Support Library-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
iTunes-->MsiExec.exe /I{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Kaspersky Online Scanner-->C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe
Kaspersky On-line Scanner-->C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe
LightScribe System Software 1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
Logiciel Intel® Viiv™-->MsiExec.exe /X{6E7BF6EC-C3E7-43A7-8A03-0D204E3EC01B} /qb!
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office 2000 Professional-->MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Works-->MsiExec.exe /I{6B1CB38D-E2E4-4a30-933D-EFDEBA76AD9C}
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
muvee autoProducer 6.0-->C:\Program Files\InstallShield Installation Information\{14AF024E-2E3B-49D0-A175-D1C1A06B155A}\setup.exe -runfromtemp -l0x040c -removeonly
Nero 9-->C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="9M03-01A1-PCX7-K31A-8A94-98PT-KT2E-522A"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Outils Club Internet-->"C:\Program Files\Club-Internet\Assistance\OutilsCI\uninstall.exe"
Outils de diagnostic du matériel-->C:\Program Files\PC-Doctor 5 for Windows\uninst.exe
Python 2.5-->MsiExec.exe /I{0A2C5854-557E-48C8-835A-3B9F074BDCAA}
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Roxio Activation Module-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}
Roxio Creator Audio-->MsiExec.exe /X{83FFCFC7-88C6-41c6-8752-958A45325C82}
Roxio Creator Basic v9-->MsiExec.exe /X{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}
Roxio Creator Copy-->MsiExec.exe /X{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}
Roxio Creator Data-->MsiExec.exe /X{0D397393-9B50-4c52-84D5-77E344289F87}
Roxio Creator EasyArchive-->MsiExec.exe /X{11F93B4B-48F0-4A4E-AE77-DFA96A99664B}
Roxio Creator Tools-->MsiExec.exe /X{0394CDC8-FABD-4ed8-B104-03393876DFDF}
Roxio Express Labeler 3-->MsiExec.exe /X{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Roxio MyDVD Basic v9-->MsiExec.exe /X{938B1CD7-7C60-491E-AA90-1F1888168240}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Unity Web Player-->C:\Program Files\Unity\WebPlayer\Uninstall.exe
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

======Security center information======

AS: Spybot - Search and Destroy (disabled)
AS: Windows Defender (disabled) (outdated)

======System event log======

Computer Name: PC-de-Céd
Event Code: 7006
Message: L'appel ScRegSetValueExW a échoué pour Type avec l'erreur :
Accès refusé.
Record Number: 36683
Source Name: Service Control Manager
Time Written: 20090607172133.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Céd
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 36693
Source Name: Tcpip
Time Written: 20090607174616.305715-000
Event Type: Avertissement
User:

Computer Name: PC-de-Céd
Event Code: 4226
Message: TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.
Record Number: 36694
Source Name: Tcpip
Time Written: 20090607181223.103715-000
Event Type: Avertissement
User:

Computer Name: PC-de-Céd
Event Code: 7000
Message: Le service Parallel port driver n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
Record Number: 36759
Source Name: Service Control Manager
Time Written: 20090607184422.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Céd
Event Code: 7001
Message: Le service SBSD Security Center Service dépend du service Centre de sécurité qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.
Record Number: 36775
Source Name: Service Control Manager
Time Written: 20090607184422.000000-000
Event Type: Erreur
User:

=====Application event log=====

Computer Name: PC-de-Céd
Event Code: 1000
Message: Application défaillante DllHost.exe, version 6.0.6000.16386, horodatage 0x4549b14e, module défaillant xvidcore.dll_unloaded, version 0.0.0.0, horodatage 0x46a74f0c, code d’exception 0xc0000005, décalage d’erreur 0x039718ef, ID du processus 0x670, heure de début de l’application 0x01c9e7955ca73d05.
Record Number: 8289
Source Name: Application Error
Time Written: 20090607172828.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Céd
Event Code: 1000
Message: Application défaillante DllHost.exe, version 6.0.6000.16386, horodatage 0x4549b14e, module défaillant xvidcore.dll_unloaded, version 0.0.0.0, horodatage 0x46a74f0c, code d’exception 0xc0000005, décalage d’erreur 0x02e718ef, ID du processus 0x1528, heure de début de l’application 0x01c9e795620e7295.
Record Number: 8290
Source Name: Application Error
Time Written: 20090607172838.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Céd
Event Code: 1000
Message: Application défaillante DllHost.exe, version 6.0.6000.16386, horodatage 0x4549b14e, module défaillant xvidcore.dll_unloaded, version 0.0.0.0, horodatage 0x46a74f0c, code d’exception 0xc0000005, décalage d’erreur 0x02fc22e2, ID du processus 0x13d0, heure de début de l’application 0x01c9e795a04eba15.
Record Number: 8291
Source Name: Application Error
Time Written: 20090607173019.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Céd
Event Code: 11
Message: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Un certificat requis n'est pas dans sa période de validité selon la vérification par rapport à l'horloge système en cours ou le tampon daté dans le fichier signé.
.
Record Number: 8322
Source Name: Microsoft-Windows-CAPI2
Time Written: 20090607184551.000000-000
Event Type: Erreur
User:

Computer Name: PC-de-Céd
Event Code: 5007
Message: Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.
Record Number: 8324
Source Name: WerSvc
Time Written: 20090607184848.000000-000
Event Type: Erreur
User:

=====Security event log=====

Computer Name: PC-de-Céd
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CÉD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x294
Nom du processus : C:\WINDOWS\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 22783
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090607185743.712325-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Céd
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 22784
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090607185743.712325-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Céd
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CÉD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x294
Nom du processus : C:\WINDOWS\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 22785
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090607192053.852325-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Céd
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-CÉD$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x294
Nom du processus : C:\WINDOWS\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 22786
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090607192053.852325-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Céd
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 22787
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090607192053.852325-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python;c:\Program Files\ATI Technologies\ATI.ACE\Core-Static;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"RoxioCentral"=c:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\
"PLATFORM"=HPD
"PCBRAND"=Pavilion
"OnlineServices"=Services en ligne
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

Cordialement,
Cédric
0
Réponse 9 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 juin 2009 à 21:55
effectivement ... Bagle est toujour là ...

l'outil n'a pas fonctionner comme il le faudrait ...


cependant le concepteur ( qui suit le topic ) vient de m'informer qu'il va mettre à jour l'outil ...


voilà ce que tu va faire dans un 1er temps :


1- protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , fais ce qui suit :

===================

2- désinstalle cette version de FindyKill en faisant ceci :

Supprimer Findykill proprement :
* Relance l'outil , et cette fois choisis l'option 3 pour le désinstaller ...

Supprime aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .



=======================


dès que j'ai le feu vert du concepteur , je donne les directives à suivre ... ( cela ne devrai tarder ... ;) )




0
Réponse 10 / 48
scorpioncf
7 juin 2009 à 22:03
Ok.

Merci pour tout, bonne soirée e à bientôt.

Cordialement,
Cédric
0
Réponse 11 / 48
scorpioncf
8 juin 2009 à 05:34
Bonjour,

Voci les rapport du nettoyage de Findykill :


############################## | FindyKill V5.002 |

# User : Céd (Administrateurs) # PC-DE-CÉD
# Update on 07/06/09 by Chiquitine29
# Start at: 05:22:53 | 08/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU E4400 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16473
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 327,89 Go (136,74 Go free) [HP] # NTFS
# D:\ # Disque fixe local # 7,46 Go (1020,19 Mo free) [FACTORY_IMAGE] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 298,01 Go (1,58 Go free) [Elements] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHReconfSvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\C‚d\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKU\S-1-5-21-923745410-3860723490-499321407-1001\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\install_crack]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | PEH ... |

Corrompu : C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\Audio\Launch.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\Easy Archive\Launch.exe
[Offset = 000000DC - Valeur = 0x0001]

Corrompu : C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Mozilla Firefox\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\blindman.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\Update.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\NAV\External\NORTON\APP\NavShcom.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\NAV\External\NORTON\APP\NAVStub.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\NAV\External\NORTON\APP\Navw32.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\NAV\External\NORTON\APP\Navwnt.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Setup\Setup\APP\isPwdSvc.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Setup\Setup\APP\isUAC.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Setup\Setup\APP\nisoptui.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Setup\Setup\APP\osCheck.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\AppCore\AppCore\AppSvc32.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\ccCommon\ccCommon\ccApp.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\ccCommon\ccCommon\ccEvtMgr.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\ccCommon\ccCommon\ccSetMgr.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\ccCommon\ccCommon\ccSvcHst.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\LUpdate\AUpdate.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\LUpdate\LuAll.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\LUpdate\LuCheck.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\LUpdate\LuConfig.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\LUpdate\LUInit.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\LUpdate\NotifyHA.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : D:\hp\apps\APP06627\src\Support\SymNet\SymNet\SNDSrvc.exe
[Offset = 000000F4 - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |

"C:\Users\C‚d\.housecall6.6\"patch.exe""
29/05/2009 16:47 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e


################## | ! Fin du rapport # FindyKill V5.002 ! |

Cordialement,
Cédric.
0
Réponse 12 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
8 juin 2009 à 11:10
Bien ...

pas mal de prg ont été corrompus par Bagle ( donc toujours inutilisable ) :

il faut que tu supprimes correctement et réinstalle les prg suivants :

Norton
Spybot S&D
Roxio
Ad-Aware


( pour Ad-aware et spybot , je te conseille de les supprimer tout court ... je te donnerai d'autres antispy beaucoup plus ligth, plus performants et gratuits en fin de désinfection ^^ )


Pour désinstaller proprement Norton , utilise cet utilitaire > ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe



Une fois ceci fais , re-teste les prg et dis moi si il fonctionne correctement ...


Ensuite refais un scan RSIT et poste le nouveau "log.txt" obtenu pour analyse ....






0
Réponse 13 / 48
scorpioncf
8 juin 2009 à 21:22
Salut,

Désolé d'avoir tardé à répondre ce soir mais il y avait la grève sur la ligne A du RER.

Je n'avais pas entièrement lu le rapport de Findykill et je ne savais pas qu'il y avait Norton sur mon PC. Le lecteur D est une partition de réinstallation fait par HP donc je ne pouvais rien faire sans le logiciel que tu m'as spécifié pour le supprimer. Merci et j'espère qu'il est bien désinstallé.

Voici le fichier log de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Céd at 2009-06-08 21:15:21
Microsoft® Windows Vista™ Édition Familiale Premium
System drive C: has 136 GB (41%) free of 336 GB
Total RAM: 3070 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:15:23, on 08/06/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\jureg.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\schtasks.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Céd\Desktop\RSIT.exe
C:\Program Files\trend micro\Céd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Update Service (gupdate1c985d0bd778bf0) (gupdate1c985d0bd778bf0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
0
Réponse 14 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
8 juin 2009 à 21:30
re,

Le lecteur D est une partition de réinstallation fait par HP

> autant pour moi , j'aurais du le remarquer ! ... quoi qu'il en soit , Norton ( qui est la version d'essais ) présent sur la partion D est HS ...


Parcontre , tu n'as pas d'antivirus ! On verra cela une fois le PC clean ! ....


fais ceci :


Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport RSIT pour analyse ...

0
Réponse 15 / 48
scorpioncf
9 juin 2009 à 05:21
Salut,

Je n'ai plus d'antivirus car Avast Home Edition (version gratuite) ne marchait plus et je l'avais supprimé. Là, j'hésite entre l'achat de Virus keeper Pro 2009, Nod32, Bitdefender et Pc-cillin. Je viens de réinstaller Spybot pour l'essai et ça marche.

Voici le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2249
Windows 6.0.6000

09/06/2009 02:56:03
mbam-log-2009-06-09 (02-56-03).txt

Type de recherche: Examen complet (C:\|D:\|J:\|)
Eléments examinés: 244491
Temps écoulé: 1 hour(s), 1 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Et de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Céd at 2009-06-09 02:56:50
Microsoft® Windows Vista™ Édition Familiale Premium
System drive C: has 136 GB (41%) free of 336 GB
Total RAM: 3070 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:56:53, on 09/06/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\jureg.exe
C:\Windows\system32\schtasks.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Céd\Desktop\RSIT.exe
C:\Program Files\trend micro\Céd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Update Service (gupdate1c985d0bd778bf0) (gupdate1c985d0bd778bf0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
0
Réponse 16 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
9 juin 2009 à 08:56
Salut,

c'est clean au niveau de MBAM .... ^^


Pour l' AV , avant que tu te fende une licence chez un payant ( surtout pas VirusKeeper ! ) , je te proposerait de faire l'essais d'un autre gratos qu' Avast .... ^^
mais ce sera pour la maipe d'après ...


pour l'instant , fais ceci :


Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

0
Réponse 17 / 48
scorpioncf
9 juin 2009 à 18:28
Bonjour,

Voici le rapport de GenProc :

Rapport GenProc 2.584 [1]
@ 09/06/2009 à 18:24:20
@ Windows Vista "CSDVersion" does not exist - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 18:25:09 ~~

Cordialement,
Cédric
0
Réponse 18 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
9 juin 2009 à 18:31
Salut,


on finalise .... dans l'ordre :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- ton nouvel antivirus AntiVir :

Télécharge AntiVir Personal Edition ici :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html

Anti-virus gratuit et en français .


Installe le et mets le à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
TUTO installation : http://www.forum-vista.net/forum/topic5704.html

( Si jamais tu as un problème avec la mise à jour , regarde ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible )


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche la case " mode expert " :
* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes :
>secteur d'amorçage lecteurs de rech.
>Contrôler secteurs d'amorçage maître
>Suivre les liens symboliques
>Rech.Rootkit au dém. de la recherche
et décoche :
ignorer les fichiers hors ligne
* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...

---> clique sur "OK" pour valider le réglage ...
****************************************

Une fois fait ,
Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

Lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
Redémarre ton PC et poste moi le rapport obtenu ... Aide toi bien du tuto ;)

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et poste moi tous les rapports ... )



0
Réponse 19 / 48
scorpioncf
9 juin 2009 à 19:06
Salut,

Premier rapport de Toolscleaner2 (que j'ai copié/collé car il ne voulait par ce généré sur C). Je fais les suppressions manuellement et je passe à la suite.

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\GenProc: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\GenProc\outil\hijackthis.log: trouvé !
C:\GenProc\outil\mbr.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\Céd\Clean.zip: trouvé !
C:\Users\Céd\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: trouvé !
C:\Users\Céd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: trouvé !
C:\Users\Céd\Desktop\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Users\Céd\Clean.zip: supprimé !
C:\GenProc\outil\hijackthis.log: supprimé !
C:\GenProc\outil\mbr.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\trend micro\hijackthis.log: ERREUR DE SUPPRESSION !!
C:\Users\Céd\Desktop\Rsit.exe: supprimé !
C:\GenProc: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FindyKill: ERREUR DE SUPPRESSION !!
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\FindyKill: ERREUR DE SUPPRESSION !!
C:\Users\Céd\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\FindyKill: ERREUR DE SUPPRESSION !!
C:\Users\Céd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FindyKill: supprimé !

Cédric.
0
Réponse 20 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
9 juin 2009 à 19:12
oki ...

supprime manuellement au prochain démarage ce qui n'a pas été supprimé ...


continue la manipe donc ...

0

Discussions similaires

Que signifie cet emoji :3
Moi -
AssassinTourist -

2 réponses