Infercté par le virus BDS/BIFROST.37245

Résolu
neomatrix09 -  
 gen-hackman -
Bonjour,
j'ai avira comme antivirus, à chaque démarage du windows, il me signal l'existance de ce virus, cela depuis plusieurs jours, sans qu'il puisse le neulraliser, peu t il quelqu'un m'aider?

merci d'avance.
Configuration: Windows XP Internet Explorer 7.0

34 réponses

  • 1
  • 2
Résumé de la discussion

Problème rencontré : Avira détecte à chaque démarrage de Windows XP la présence d’un virus et ne parvient pas à le neutraliser, phénomène observé depuis plusieurs jours.
Plusieurs solutions proposées incluent USBFix pour rechercher les infections sur les médias externes et ComboFix ou OTL pour analyser et éliminer les malwares tenaces, notamment sur Windows XP.
Des avertissements sur d’éventuels faux positifs, tels que 'Process.exe' considéré par certains antivirus comme RiskTool, invitent à vérifier les rapports et à sauvegarder les données avant nettoyage, tandis que GMER recherche rootkits.
En cas de persistance, un pré-diagnostic hors ligne et des analyses répétées en mode sans échec peuvent être recommandés, afin de confirmer l’infection et d’éviter la remise en cause des outils lors du redémarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    helllo :)

    ######## | XP _ Instal & recherche | #######

    Telecharge et install UsbFix (de C_XX & Chiquitine29)

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisi l option 1 ( Recherche )

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    1
  2. neomatrix09
     
    le lien" UsbFix (de C_XX & Chiquitine29) " ne fonctionne pas.
    0
  3. gen-hackman
     
    et sur ce lien ?
    0
    1. neomatrix09
       
      pareille
      0
  4. gen-hackman
     

    /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

    _________________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ______________________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    >> Reviens sur le forum, et

    copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. neomatrix09
     
    bonjour
    les sources de données externes: clé USB, disque dur externe, etc..., dois-je les brancher aussi au pc avant l'éxecution du Combofix ?
    0
  7. gen-hackman
     
    bonjour

    oui
    0
    1. neomatrix08
       
      bonjour

      je m'execuxe pour avoir prés tout ce temps à réagir, le pc est au travail, donc je devai d'abord faire sauvegarde de tout les dossiers, aujourd'hui j'ai éxecuté Combofix, voila le rapport:

      ComboFix 09-06-28.06 - Administrateur 11/07/2009 8:30.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.503.305 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      .
      - Mode FONCTIONNALITES REDUITES -
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Autorun.inf
      c:\program files\Bifrost
      c:\program files\Bifrost\logg.dat
      c:\program files\bifrost\server.exe

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-06-11 au 2009-07-11 ))))))))))))))))))))))))))))))))))))
      .

      2009-07-11 07:24 . 2009-07-11 07:27 62273 ----a-w- c:\windows\system32\winxp.exe
      2009-07-04 07:11 . 2009-07-04 07:11 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
      2009-07-01 10:23 . 2009-07-01 10:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
      2009-07-01 10:23 . 2009-07-01 10:23 -------- d-----w- c:\program files\Avira
      2009-06-28 08:17 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
      2009-06-28 08:17 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\dllcache\mouhid.sys
      2009-06-22 14:23 . 2009-06-22 14:23 239088 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-07-11 07:32 . 2009-07-11 07:32 -------- d-----w- c:\program files\Bifrost
      2009-07-11 07:32 . 2009-07-01 10:20 25024 ----a-w- c:\documents and settings\Administrateur\Application Data\addons.dat
      2009-07-11 07:25 . 2009-07-11 07:25 25024 ----a-w- c:\documents and settings\LocalService\Application Data\addons.dat
      2009-06-29 09:53 . 2009-03-14 11:22 -------- d-----r- c:\program files\Skype
      2009-06-29 09:53 . 2008-06-11 11:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
      2009-06-29 09:49 . 2008-06-11 11:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
      "RTEGPRS"="c:\program files\Fichiers communs\SmartCom\RTEGPRS.exe" [2005-04-21 2371584]
      "Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-01-05 133104]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-09-30 155648]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-09-30 126976]
      "SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
      "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
      "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
      "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
      "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-03-28 198160]
      "regdiit"="c:\windows\system32\winxp.exe" [2009-07-11 62273]
      "MAKTray"="MAKTray.exe" - c:\windows\MAKTray.exe [2004-08-27 287232]
      "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
      "Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
      "Debugger"=c:\windows\system32\winxp.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
      "c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
      "c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

      S3 usb2vcom;USB Data Cable;c:\windows\system32\drivers\usb2vcom.sys [15/02/2009 09:05 28704]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}]
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}]
      \Shell\AutoRun\command - E:\2u.com
      \Shell\explore\Command - E:\2u.com
      \Shell\open\Command - E:\2u.com

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}]
      \Shell\AutoRun\command - E:\lqbuze.exe
      \Shell\explore\Command - E:\lqbuze.exe
      \Shell\open\Command - E:\lqbuze.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}]
      \Shell\AutoRun\command - E:\sm.exe
      \Shell\open\Command - E:\sm.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9D71D88C-C598-4935-C5D1-43AA4DB90836}]
      c:\program files\Bifrost\server.exe s
      .
      Contenu du dossier 'Tâches planifiées'

      2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3905612227-3240474233-3317906568-500Core.job
      - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-01-05 14:10]

      2009-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3905612227-3240474233-3317906568-500UA.job
      - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-01-05 14:10]

      2009-07-11 c:\windows\Tasks\User_Feed_Synchronization-{CA4EA95C-853D-4008-A252-DB6A3CE2E5AF}.job
      - c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = about:blank
      uInternet Settings,ProxyServer = 10.16.1.11:8080
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
      FF - ProfilePath -
      FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-07-11 08:32
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_USERS\S-1-5-21-3905612227-3240474233-3317906568-500\Software\Microsoft\Internet Explorer\User Preferences]
      @Denied: (2) (Administrator)
      "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
      d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6e,9c,0b,52,99,70,89,4a,8a,f5,2c,\
      "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
      d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6e,9c,0b,52,99,70,89,4a,8a,f5,2c,\
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(2516)
      c:\windows\system32\shdoclc.dll
      c:\windows\system32\ieframe.dll
      c:\windows\system32\msi.dll
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Analog Devices\SoundMAX\SMAgent.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\windows\MAKHkey.exe
      c:\windows\system32\rundll32.exe
      c:\program files\Internet Explorer\iexplore.exe
      c:\windows\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-07-11 8:34 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-07-11 07:34

      Avant-CF: 70 796 406 784 octets libres
      Après-CF: 71 334 100 992 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      158 --- E O F --- 2009-03-15 12:33



      je crois que le virus est toujours en vie.

      merci.
      0
  8. gen-hackman
     
    bonjour oui effectivement

    *****************************************************
    ************** Option 1 (Recherche) **************
    *****************************************************

    Télécharge FindyKill (de Chiquitine29 et C_XX) sur ton bureau :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  9. neomatrix09 Messages postés 48 Statut Membre 8
     
    au cours d'exécution de Findnkill, 02 fois avira m'alerte sur la présence de :

    VBS/Autorun.ha dans E:\winfile.jpg

    j'ai cliké sur "ne pa autoriser", parceque Findnkill s'est arreté pendant plus de 30 minutes, et n'a poursuit son travail qu'aprés le clic.

    voici le rapport:

    ############################## | FindyKill V6.005 |

    # User : Administrateur (Administrateurs) # LÉO
    # Update on 11/07/09 by Chiquitine29 & C_XX
    # Start at: 12:12:03 | 13/07/2009
    # Website : http://pagesperso-orange.fr/NosTools/index.html

    # Intel(R) Pentium(R) 4 CPU 3.00GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 8.0.6001.18702
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

    # C:\ # Disque fixe local # 74,52 Go (66,18 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque amovible # 1,87 Go (1,59 Go free) [ALIO] # FAT
    # F:\ # Disque amovible # 242,12 Mo (50,94 Mo free) # FAT

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\MAKTray.exe
    C:\WINDOWS\MAKHKEY.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Registre Startup |

    R1 - HKCU\..\Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    R1 - HKCU\..\Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    R1 - HKCU\..\Main: "Start Page"="about:blank"
    R1 - HKCU\..\Main: "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
    R1 - HKCU\..\Main: "Start Page Redirect Cache_TIMESTAMP"=hex:b4,f9,62,1f,03,f7,c9,01
    R1 - HKCU\..\Main: "Start Page Redirect Cache AcceptLangs"="fr"
    F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    F2 - HKLM\..\logon:"DefaultUserName"="administrateur"
    F2 - HKLM\..\logon:"AltDefaultUserName"="administrateur"
    F2 - HKLM\..\logon:"LegalNoticeCaption"=""
    F2 - HKLM\..\logon:"LegalNoticeText"=""
    04 - HKLM\..\Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
    04 - HKLM\..\Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
    04 - HKLM\..\Run: MAKTray=MAKTray.exe
    04 - HKLM\..\Run: SetRefresh=C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
    04 - HKLM\..\Run: IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    04 - HKLM\..\Run: MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    04 - HKLM\..\Run: PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    04 - HKLM\..\Run: PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    04 - HKLM\..\Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    04 - HKLM\..\Run: BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    04 - HKLM\..\Run: WellPhone DirectSync - ScheduleSync=C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
    04 - HKLM\..\Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
    04 - HKLM\..\Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    04 - HKLM\..\Run: regdiit=C:\WINDOWS\system32\winxp.exe
    04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    04 - HKCU\..\Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    04 - HKCU\..\Run: RTEGPRS="C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe" tray
    04 - HKCU\..\Run: Google Update="C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

    ################## | Fichiers # Dossiers infectieux |

    ################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |

    ################## | All Drives ... |

    Présent ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

    ################## | Registre # Clés Run infectieuses |

    Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
    Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
    Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe
    Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

    HKCU\..\..\Explorer\MountPoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}
    Shell\AutoRun\command =E:\2u.com
    Shell\explore\Command =E:\2u.com
    Shell\open\Command =E:\2u.com

    HKCU\..\..\Explorer\MountPoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}
    Shell\AutoRun\command =E:\lqbuze.exe
    Shell\explore\Command =E:\lqbuze.exe
    Shell\open\Command =E:\lqbuze.exe

    HKCU\..\..\Explorer\MountPoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}
    Shell\AutoRun\command =E:\sm.exe
    Shell\open\Command =E:\sm.exe

    ################## | Etat / Services / Informations |

    # Affichage des fichiers cachés : OK
    # Mode sans echec : OK
    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # FindyKill V6.005 ! |
    0
  10. gen-hackman
     
    *****************************************************
    ************* Option 2 (Suppression) *************
    *****************************************************

    ! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    * Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

    * Le pc va redémarrer automatiquement ...

    --> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

    * Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

    0
    1. neomatrix09
       
      avira a encore bloquer Findykill, voila le message:

      C:\findukill\tools \sniffc.exe contient le modele de détection du programme SPR\Autolt.Gen

      j'ignore et contunier؟
      0
  11. gen-hackman
     
    oui ignore c'est normal
    0
    1. neomatrix09
       
      voila le rapport:


      ############################## | FindyKill V6.005 |

      # User : Administrateur (Administrateurs) # LÉO
      # Update on 11/07/09 by Chiquitine29 & C_XX
      # Start at: 16:06:33 | 13/07/2009
      # Website : http://pagesperso-orange.fr/NosTools/index.html

      # Intel(R) Pentium(R) 4 CPU 3.00GHz
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Enabled
      # AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

      # C:\ # Disque fixe local # 74,52 Go (66,19 Go free) # NTFS
      # D:\ # Disque CD-ROM
      # E:\ # Disque amovible # 1,87 Go (1,59 Go free) [ALIO] # FAT
      # F:\ # Disque amovible # 242,12 Mo (50,94 Mo free) # FAT

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Fichiers # Dossiers infectieux |


      ################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |


      ################## | All Drives ... |

      Supprimé ! E:\winfile.jpg
      Supprimé ! F:\winfile.jpg
      Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
      Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665
      ################## | Autres ... |


      ################## | Registre # Clés Run infectieuses |

      Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
      Supprimé ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
      Supprimé ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe
      # HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

      ################## | Registre # Mountpoints2 |

      Supprimé ! HKCU\...\Explorer\MountPoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}\Shell\AutoRun\Command

      ################## | Listing des fichiers présent |

      [18/05/2009 09:24|--a------|212] - C:\Boot.bak
      [11/07/2009 08:29|-rahs----|282] - C:\boot.ini
      [05/08/2004 03:00|-rahs----|4952] - C:\Bootfont.bin
      [03/08/2004 23:00|--a------|263488] - C:\cmldr
      [11/07/2009 08:34|--a------|9769] - C:\ComboFix.txt
      [13/07/2009 16:27|--a------|3238] - C:\FindyKill.txt
      [?|?|?] - C:\hiberfil.sys
      [08/06/2008 10:41|-rahs----|0] - C:\IO.SYS
      [08/06/2008 10:41|-rahs----|0] - C:\MSDOS.SYS
      [05/08/2004 03:00|-rahs----|47564] - C:\NTDETECT.COM
      [05/08/2004 03:00|-rahs----|251712] - C:\ntldr
      [?|?|?] - C:\pagefile.sys
      [04/06/2008 14:34|--a------|11879] - E:\maitres chiens.docx
      [24/10/2007 14:10|--a------|280418] - E:\AGENT.01....õõ..xlsx
      [28/06/2008 15:42|--a------|56832] - E:\adresse[1].doc
      [14/06/2008 15:38|--a------|23753] - E:\Les ‚volutions dans les structures de production ne peuvent ˆtre laiss‚es au bon vouloir des.docx
      [17/05/2008 10:13|--a------|4599609] - E:\15052008.pdf
      [12/07/2008 10:50|--a------|200192] - E:\plan formation.doc
      [18/06/2008 15:28|--a------|10373] - E:\Compte rendu.docx
      [21/04/2008 15:10|--a------|23418] - E:\bilan2.docx
      [27/05/2008 15:31|--a------|20480] - E:\lettre TEL.doc
      [28/05/2008 10:46|--a------|30208] - E:\LISTE DES AGENTS CONCORDATAIRES RETRAITES.doc
      [29/03/2008 10:13|--a------|821760] - E:\tarif2008.xls
      [04/12/2006 11:38|--a------|10752] - E:\tunisie .doc.doc
      [10/12/2006 12:49|--a------|37376] - E:\f.doc.doc
      [27/05/2008 15:14|--a------|29184] - E:\LISTE DES AGENTS CONCORDATAIRES formation.doc
      [10/03/2008 16:39|--a------|12189] - E:\pv concours.docx
      [17/07/2008 13:20|--a------|113922] - E:\img064.jpg
      [17/07/2008 13:21|--a------|129907] - E:\img065.jpg
      [17/07/2008 13:00|--a------|146702] - E:\img063.jpg
      [14/07/2008 15:51|--a------|55216] - E:\SAMEH.ATS.docx
      [11/07/2009 16:22|--ah-----|5220] - F:\audio_play_list.txt
      [17/10/2007 12:27|--a------|541] - F:\D‚mineur.lnk
      [06/02/2009 15:40|--a------|449899] - F:\Photo 0010.jpg
      [06/04/2009 10:30|--a------|178688] - F:\Etat r‚capitulatif.doc
      [06/04/2009 10:40|--a------|715776] - F:\Dup(1)pv final AC 2008.doc
      [12/06/2009 20:06|--a------|3596328] - F:\OppRecv00.tmp
      [30/06/2009 10:23|--a------|1776884] - F:\OppRecv01.tmp
      [06/07/2009 12:45|--a------|1532448] - F:\00000000001.mp3
      [18/03/2009 09:55|---h-----|139776] - F:\~WRL1719.tmp
      [05/04/2009 11:31|--a------|611328] - F:\pv final AC 2008.doc
      [05/04/2009 11:37|--a------|322048] - F:\PV FINAL OC 2008.doc
      [05/04/2009 11:36|--a------|243200] - F:\PV FINAL OB 2008.doc
      [15/06/2008 12:34|--a------|22311160] - F:\antivir_workstation_winu_en_h.exe
      [11/04/2009 14:54|--a------|30837] - F:\Etat r‚capitulatif formation.docx
      [11/04/2009 14:42|--a------|107008] - F:\PV FINAL OB.doc
      [11/04/2009 15:09|--a------|141312] - F:\Etat r‚capitulatif formation.doc
      [12/04/2009 10:42|--a------|22528] - F:\SNC FrŠres.doc
      [06/04/2009 10:30|--a------|178688] - F:\????????.doc
      [05/05/2009 15:32|--a------|97280] - F:\recours externe 2008.doc
      [12/05/2009 15:13|--a------|133120] - F:\Liste des inscrits … la formation des motocyclistes.doc
      [12/05/2009 15:19|--a------|75776] - F:\Liste des inscrits … la formation des maŒtres chiens.doc
      [24/05/2009 15:17|--a------|296] - F:\WMPInfo.xml
      [04/05/2009 09:41|--a------|3954816] - F:\mwlai.mp3.mp3
      [31/05/2009 08:40|--a------|2065134] - F:\alkorsi-ajmi.ra.ram

      ################## | Vaccination |

      # C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
      # E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
      # F:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

      ################## | Etat / Services / Informations |

      # Mode sans echec : OK


      # Affichage des fichiers cachés : OK

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

      ################## | PEH ... |


      ################## | Cracks / Keygens / Serials |


      ################## | ! Fin du rapport # FindyKill V6.005 ! |
      0
  12. gen-hackman
     
    Télécharge OTL de OLDTimer

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant scan all users

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
    0
  13. neomatrix09
     
    au cours du scan OTL affiche le message suivant:

    "access violation at address 002F00FB. read of address 00EE70A4"

    j'appui sur ''OK''?
    0
  14. gen-hackman
     
    oui il devrait te sortir un rapport quand meme
    0
  15. neomatrix09 Messages postés 48 Statut Membre 8
     
    voila le lien :

    http://www.cijoint.fr/cjlink.php?file=cj200907/cijS84txCT.txt
    0
  16. neomatrix09 Messages postés 48 Statut Membre 8
     
    je crois que mon pc vient d'être infecté par nouveaux virus, trois nouveaux fichiers apparaissent sur le bureau dont leur nom est identiques (les deux premières lettres de chaque nom des fichiers suspects est remplacé par : "~$") à trois fichiers se trouvant sur le bureau aussi.
    0
  17. gen-hackman
     
    Double clic sur OTL.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans la zone sous Customs Scans/Fixes

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    TeaTimer.exe

    :OTL
    O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)

    :files
    C:\Program Files\Bifrost

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    Clique sur RunFix pour lancer la suppression.

    Poste le rapport.

    ==========
    0
  18. Tr00ps
     
    lance un detectecteur de rootik deja , sinon le plus simple est de faire un format c: :)
    0
  19. neomatrix09 Messages postés 48 Statut Membre 8
     
    je cole tout ça :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    TeaTimer.exe

    :OTL
    O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)

    :files
    C:\Program Files\Bifrost

    :commands
    [emptytemp]
    [start explorer]
    [reboot]
    0
  20. neomatrix09 Messages postés 48 Statut Membre 8
     
    le rapport:

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named TeaTimer.exe was found!
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui\ deleted successfully.
    C:\WINDOWS\System32\igfxsrvc.dll unregistered successfully.
    C:\WINDOWS\System32\igfxsrvc.dll moved successfully.
    ========== FILES ==========
    C:\Program Files\Bifrost moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 1051161 bytes
    ->Temporary Internet Files folder emptied: 29787302 bytes
    ->Java cache emptied: 113382425 bytes
    ->FireFox cache emptied: 75860801 bytes
    ->Google Chrome cache emptied: 462052778 bytes

    User: All Users

    User: chaabane
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 32768 bytes

    User: Invité
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    C:\WINDOWS\msdownld.tmp folder deleted successfully.
    %systemroot% .tmp files removed: 2114937 bytes
    %systemroot%\System32 .tmp files removed: 4889088 bytes
    Windows Temp folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 657,28 mb

    OTL by OldTimer - Version 3.0.7.1 log created on 07142009_123013

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    0
  • 1
  • 2