Cherche aide pour éradiquer Worm.bagel
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je viens d'acheter un portable il y a 1 semaine, et il est déja infecté par Worm.bagel, (je pense que c'est sur eMule que j'ai attrapé ça)(j'ai honte de dire ça) résultat maintenant plus rien ne marche,
_plus de connexion internet
_plus de réseau
_des applications (antivir) qui ne se lancent pas, ex; (n'est pas une application Win 32 valide)
_mon pc qui rame
_mon Unité centrale qui est a 80%
_pas moyen d'exécuter hijackthis, même cause que Antivir.
J'ai essayé d'appliquer mes quelques connaissances en informatique, mais ça n'a pas l'air de résoudre quoi que ce soit:
Ce que j'ai fait:
Une restauration en mode sans echec
un reboot avec "dernière bonne configuraton connue"
un nettoyage avec ccleaner et Glary Utilities
et un rapport Malewarbytes ci-joint, car pas moyen d'installer hijackthis.
Voila, maintenant vous savez le principal j'attends plus q'une âme charitable veuille bien me consacrer un peu de son temps pour me sortir du caca dans lequel je me suis mis , (bien fait pour moi...).
Merci d'avance.
Gilles
Le rapport:
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1616
Windows 6.0.6001 Service Pack 1
04/09/2009 16:47:01
mbam-log-2009-09-04 (16-47-01).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 200740
Temps écoulé: 3 hour(s), 2 minute(s), 5 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Users\Gilles\AppData\Roaming\m (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\Gilles\AppData\Roaming\drivers\11s11ro1s1a2.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\Windows\System32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\Windows\System32\wintems.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\Users\Gilles\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Je viens d'acheter un portable il y a 1 semaine, et il est déja infecté par Worm.bagel, (je pense que c'est sur eMule que j'ai attrapé ça)(j'ai honte de dire ça) résultat maintenant plus rien ne marche,
_plus de connexion internet
_plus de réseau
_des applications (antivir) qui ne se lancent pas, ex; (n'est pas une application Win 32 valide)
_mon pc qui rame
_mon Unité centrale qui est a 80%
_pas moyen d'exécuter hijackthis, même cause que Antivir.
J'ai essayé d'appliquer mes quelques connaissances en informatique, mais ça n'a pas l'air de résoudre quoi que ce soit:
Ce que j'ai fait:
Une restauration en mode sans echec
un reboot avec "dernière bonne configuraton connue"
un nettoyage avec ccleaner et Glary Utilities
et un rapport Malewarbytes ci-joint, car pas moyen d'installer hijackthis.
Voila, maintenant vous savez le principal j'attends plus q'une âme charitable veuille bien me consacrer un peu de son temps pour me sortir du caca dans lequel je me suis mis , (bien fait pour moi...).
Merci d'avance.
Gilles
Le rapport:
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1616
Windows 6.0.6001 Service Pack 1
04/09/2009 16:47:01
mbam-log-2009-09-04 (16-47-01).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 200740
Temps écoulé: 3 hour(s), 2 minute(s), 5 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Users\Gilles\AppData\Roaming\m (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\Gilles\AppData\Roaming\drivers\11s11ro1s1a2.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\Windows\System32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\Windows\System32\wintems.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\Users\Gilles\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> Quarantined and deleted successfully.
A voir également:
- Cherche aide pour éradiquer Worm.bagel
- Éradiquer mites alimentaires - Guide
- Comment éradiquer " premier opinion " ✓ - Forum Windows 7
- Comment éradiquer message Error status 0x0000020 ✓ - Forum Windows 8 / 8.1
- Eradiquer définitivement spams sexe/casino/laposte etc - Forum Gmail
8 réponses
Ah et euh, malwarebytes l'a pas mis en quarantaine? apparement, le log dit que le virus est mis en quarantaine o_o
Bonsoir Gilles ,
▶ Télécharge FindyKill Serveur1 Serveur2 sur ton bureau :
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
▶ Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
▶ Télécharge FindyKill Serveur1 Serveur2 sur ton bureau :
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
▶ Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour Chiquitine29,
Merci pour ta réponse rapide.
Je ne peut faire ces rapports ce soir car je réside aux antilles et c'est 6 heures de moins qu'en métropole, donc 19 h 15 (en ce moment) et j'ai du monde rà manger ce soir.
Dès que je peux demain je t'envoie les rapports, inutile de te dire que je compte sur toi, car je suis bien embêté.
Merci encore.
Gilles
Merci pour ta réponse rapide.
Je ne peut faire ces rapports ce soir car je réside aux antilles et c'est 6 heures de moins qu'en métropole, donc 19 h 15 (en ce moment) et j'ai du monde rà manger ce soir.
Dès que je peux demain je t'envoie les rapports, inutile de te dire que je compte sur toi, car je suis bien embêté.
Merci encore.
Gilles
Salut Chiquitine29,
Bien, en fait je me suis debrouillé pour sortir les rapports dans la soirée pour que tu les aient dans la matinée.
Alors concretement il y a du mieux,
mon anti virus est réaparu, mais il ne fonctionne pas, j'ai toujours pas internet, certaines applications qui ne s'ouvraient plus remarchent à nouveau, par contre IE, Firefox, Thunderbird entre autre, mettent du temps a s'ouvrir et se fermer, ALors petite question:
Si je restaure a une date antérieure, est-ce que ça va me résoudre ces problemes.
En ce moment je déragmente le disque pour gagner en rapidité et je refait un scan avec malwarebytes, dema j'ai réussi egalement mettre hisjackThis, demain je posterai les rapports.
Pour ma connection si tu as une solution je suis preneur.
II est tard je vais me coucher.
gilles
____________AVANT____________________
############################## | FindyKill V5.008 |
# User : Gilles (Administrateurs) # GILLES
# Update on 04/09/2009 by Chiquitine29
# Start at: 20:12:34 | 04/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz
# Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 222,88 Go (159,99 Go free) # NTFS
# D:\ # Disque fixe local # 9 Go (1,46 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 1021 Mo (1018,75 Mo free) [HP_TOOLS] # FAT32
# G:\ # Disque fixe local # 149,05 Go (41,49 Go free) [USB MIchèle] # NTFS
# H:\ # Disque amovible # 982,12 Mo (501,62 Mo free) [CARTE SD] # FAT
# I:\ # Disque amovible # 15,05 Go (7,46 Go free) [USB GILLES] # FAT32
############################## | Processus actifs |
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\wininit.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\lsm.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SLsvc.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\spoolsv.exe
C:\windows\system32\svchost.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\Windows\system32\agrsmsvc.exe
c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\windows\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\windows\system32\taskeng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\TUProgSt.exe
C:\windows\System32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\windows\system32\Dwm.exe
C:\windows\system32\taskeng.exe
C:\windows\Explorer.EXE
C:\windows\system32\wbem\wmiprvse.exe
c:\Program Files\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
C:\windows\system32\wbem\unsecapp.exe
C:\windows\system32\conime.exe
C:\windows\system32\wbem\wmiprvse.exe
############################## | Processus infectieux stoppés |
"C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe" (3892)
################## | C: |
################## | C:\windows |
################## | C:\windows\system32 |
################## | C:\windows\system32\drivers |
################## | C:\Users\Gilles\AppData\Roaming |
Présent ! C:\Users\Gilles\AppData\Roaming\drivers
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\111wfs1intwq.sys
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\11s11ro1s1a2.sys
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\downld
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
################## | C:\Users\Gilles\Temporary Internet Files |
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Uac = 0x0
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"C:\Users\Gilles\AppData\Local\Temp\Rar$EX03.687\Adobe Acrobat 6.0 KeyGen\"aap60kg.exe""
24/06/2003 08:42 |Size 53434 |Crc32 382be415 |Md5 7e5f9cf42db0156f60fc7fc0cd7da3e4
################## | ! Fin du rapport # FindyKill V5.008 ! |
___________________________________________________________________________________________
____________________________________________________________________________________________
___________________APRES________________________
############################## | FindyKill V5.008 |
# User : Gilles (Administrateurs) # GILLES
# Update on 04/09/2009 by Chiquitine29
# Start at: 20:20:02 | 04/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz
# Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 222,88 Go (160,01 Go free) # NTFS
# D:\ # Disque fixe local # 9 Go (1,46 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 1021 Mo (1018,75 Mo free) [HP_TOOLS] # FAT32
# G:\ # Disque fixe local # 149,05 Go (41,49 Go free) [USB MIchèle] # NTFS
# H:\ # Disque amovible # 982,12 Mo (501,62 Mo free) [CARTE SD] # FAT
# I:\ # Disque amovible # 15,05 Go (7,46 Go free) [USB GILLES] # FAT32
############################## | Processus actifs |
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\wininit.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\lsm.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\LogonUI.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SLsvc.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\System32\spoolsv.exe
C:\windows\system32\svchost.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\Windows\system32\agrsmsvc.exe
c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\windows\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\windows\system32\taskeng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\TUProgSt.exe
C:\windows\System32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\taskeng.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
c:\Program Files\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\windows\system32\runonce.exe
C:\windows\system32\conime.exe
################## | C: |
################## | C:\windows |
################## | C:\windows\system32 |
################## | C:\windows\system32\drivers |
################## | C:\Users\Gilles\AppData\Roaming |
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\111wfs1intwq.sys
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\11s11ro1s1a2.sys
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers
################## | Autres ... |
# Références de comparaison Bagle MD5 :
File : C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : a7928e16 | Md5 : b51cf8825cddc6a0aa4dbd1d73aca69c
Supprimé ! "C:\Program Files\RocketDock\RocketDock.exe"
-> Size : 860160 | Crc32 : a7928e16 | Md5 : b51cf8825cddc6a0aa4dbd1d73aca69c
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat / Services / Informations |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |
Corrompu : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
[Offset = 0000010C - Valeur = 0x0001]
Corrompu : C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Avira\AntiVir Desktop\sched.exe
[Offset = 0000010C - Valeur = 0x0001]
Corrompu : C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\Audio\Launch.exe
[Offset = 000000F4 - Valeur = 0x0001]
Corrompu : C:\Program Files\Glary Utilities\uninstaller.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Mozilla Firefox\uninstall\helper.exe
[Offset = 000000E4 - Valeur = 0x0001]
Corrompu : C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]
Corrompu : C:\Program Files\Spybot - Search & Destroy\blindman.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Spybot - Search & Destroy\Update.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Unlocker\UnlockerAssistant.exe
[Offset = 000000D4 - Valeur = 0x0001]
Corrompu : I:\Logiciels\Combofix\ComboFix.exe
[Offset = 000000EC - Valeur = 0x0001]
Corrompu : I:\Logiciels\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.008 ! |
Bien, en fait je me suis debrouillé pour sortir les rapports dans la soirée pour que tu les aient dans la matinée.
Alors concretement il y a du mieux,
mon anti virus est réaparu, mais il ne fonctionne pas, j'ai toujours pas internet, certaines applications qui ne s'ouvraient plus remarchent à nouveau, par contre IE, Firefox, Thunderbird entre autre, mettent du temps a s'ouvrir et se fermer, ALors petite question:
Si je restaure a une date antérieure, est-ce que ça va me résoudre ces problemes.
En ce moment je déragmente le disque pour gagner en rapidité et je refait un scan avec malwarebytes, dema j'ai réussi egalement mettre hisjackThis, demain je posterai les rapports.
Pour ma connection si tu as une solution je suis preneur.
II est tard je vais me coucher.
gilles
____________AVANT____________________
############################## | FindyKill V5.008 |
# User : Gilles (Administrateurs) # GILLES
# Update on 04/09/2009 by Chiquitine29
# Start at: 20:12:34 | 04/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz
# Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 222,88 Go (159,99 Go free) # NTFS
# D:\ # Disque fixe local # 9 Go (1,46 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 1021 Mo (1018,75 Mo free) [HP_TOOLS] # FAT32
# G:\ # Disque fixe local # 149,05 Go (41,49 Go free) [USB MIchèle] # NTFS
# H:\ # Disque amovible # 982,12 Mo (501,62 Mo free) [CARTE SD] # FAT
# I:\ # Disque amovible # 15,05 Go (7,46 Go free) [USB GILLES] # FAT32
############################## | Processus actifs |
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\wininit.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\lsm.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SLsvc.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\spoolsv.exe
C:\windows\system32\svchost.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\Windows\system32\agrsmsvc.exe
c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\windows\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\windows\system32\taskeng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\TUProgSt.exe
C:\windows\System32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\windows\system32\Dwm.exe
C:\windows\system32\taskeng.exe
C:\windows\Explorer.EXE
C:\windows\system32\wbem\wmiprvse.exe
c:\Program Files\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
C:\windows\system32\wbem\unsecapp.exe
C:\windows\system32\conime.exe
C:\windows\system32\wbem\wmiprvse.exe
############################## | Processus infectieux stoppés |
"C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe" (3892)
################## | C: |
################## | C:\windows |
################## | C:\windows\system32 |
################## | C:\windows\system32\drivers |
################## | C:\Users\Gilles\AppData\Roaming |
Présent ! C:\Users\Gilles\AppData\Roaming\drivers
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\111wfs1intwq.sys
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\11s11ro1s1a2.sys
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\downld
Présent ! C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
################## | C:\Users\Gilles\Temporary Internet Files |
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1802661669-1977887380-3695381860-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Uac = 0x0
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"C:\Users\Gilles\AppData\Local\Temp\Rar$EX03.687\Adobe Acrobat 6.0 KeyGen\"aap60kg.exe""
24/06/2003 08:42 |Size 53434 |Crc32 382be415 |Md5 7e5f9cf42db0156f60fc7fc0cd7da3e4
################## | ! Fin du rapport # FindyKill V5.008 ! |
___________________________________________________________________________________________
____________________________________________________________________________________________
___________________APRES________________________
############################## | FindyKill V5.008 |
# User : Gilles (Administrateurs) # GILLES
# Update on 04/09/2009 by Chiquitine29
# Start at: 20:20:02 | 04/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz
# Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 222,88 Go (160,01 Go free) # NTFS
# D:\ # Disque fixe local # 9 Go (1,46 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 1021 Mo (1018,75 Mo free) [HP_TOOLS] # FAT32
# G:\ # Disque fixe local # 149,05 Go (41,49 Go free) [USB MIchèle] # NTFS
# H:\ # Disque amovible # 982,12 Mo (501,62 Mo free) [CARTE SD] # FAT
# I:\ # Disque amovible # 15,05 Go (7,46 Go free) [USB GILLES] # FAT32
############################## | Processus actifs |
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\wininit.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\lsm.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\LogonUI.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SLsvc.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\System32\spoolsv.exe
C:\windows\system32\svchost.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\Windows\system32\agrsmsvc.exe
c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\windows\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\windows\system32\taskeng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\TUProgSt.exe
C:\windows\System32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\taskeng.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
c:\Program Files\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\windows\system32\runonce.exe
C:\windows\system32\conime.exe
################## | C: |
################## | C:\windows |
################## | C:\windows\system32 |
################## | C:\windows\system32\drivers |
################## | C:\Users\Gilles\AppData\Roaming |
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\111wfs1intwq.sys
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\11s11ro1s1a2.sys
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Gilles\AppData\Roaming\drivers
################## | Autres ... |
# Références de comparaison Bagle MD5 :
File : C:\Users\Gilles\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : a7928e16 | Md5 : b51cf8825cddc6a0aa4dbd1d73aca69c
Supprimé ! "C:\Program Files\RocketDock\RocketDock.exe"
-> Size : 860160 | Crc32 : a7928e16 | Md5 : b51cf8825cddc6a0aa4dbd1d73aca69c
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat / Services / Informations |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |
Corrompu : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
[Offset = 0000010C - Valeur = 0x0001]
Corrompu : C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Avira\AntiVir Desktop\sched.exe
[Offset = 0000010C - Valeur = 0x0001]
Corrompu : C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\Audio\Launch.exe
[Offset = 000000F4 - Valeur = 0x0001]
Corrompu : C:\Program Files\Glary Utilities\uninstaller.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Mozilla Firefox\uninstall\helper.exe
[Offset = 000000E4 - Valeur = 0x0001]
Corrompu : C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]
Corrompu : C:\Program Files\Spybot - Search & Destroy\blindman.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Spybot - Search & Destroy\Update.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Unlocker\UnlockerAssistant.exe
[Offset = 000000D4 - Valeur = 0x0001]
Corrompu : I:\Logiciels\Combofix\ComboFix.exe
[Offset = 000000EC - Valeur = 0x0001]
Corrompu : I:\Logiciels\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.008 ! |
