B.exe MSA.exe et divers ( besoin d'aide
crazyfred
-
benurrr Messages postés 9766 Statut Contributeur sécurité -
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
j'ai lu plusieurs sujets concernant cette cochonnerie de b.exe avant de poster ici, je n'ai pas trouvé de solution.
je sature carrément des essais, et forcément des résultats non concluant, je pensais pourtant m'en sortir seul... je ne suis clairement pas assez compétant.
j'ai aussi msa.exe et surement d'autres programmes malveillants.
avg dernière version testée
spybot dernière version testé
avast dernière version testée
securser.com en ligne testé
à chaque redemarrage j'ai les memes soucis
impossible de virer une application dans le gestionnaire de taches, impossible de mettre les fichiers cachés en "visible", des impressions qui disparaissent ...Etc
ps : je suis en réseau et mes 2 postes sont infectés visiblement par b.exe mais surement pas des choses différentes.... si vous l'acceptez, on règlera le 2è poste plus tard, mais prenez en compte mon réseau
je suis sous XP version 2002, pro, SP3 (nouvellement installé), P4 2,4 Ghz, 1 Mo ram
voici mon hijack ci dessous....
Logfile of HijackThis v1.99.0
Scan saved at 12:34:41, on 15/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\adawre\aawservice.exe
D:\applic\avast\aswUpdSv.exe
D:\applic\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\test\LOCALS~1\Temp\b.exe
C:\WINDOWS\msa.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\svchost.exe
D:\applic\avast\ashDisp.exe
C:\Documents and Settings\test\laqig.exe
D:\applic\avast\ashMaiSv.exe
D:\applic\avast\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis2\HijackThis2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LRI Internet Explorer
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [avast!] D:\applic\avast\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windos Video Link] video_lnk32.exe
O4 - HKCU\..\Run: [laqig] C:\Documents and Settings\test\laqig.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/291e6043451322ca3605/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - G:\adawre\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service - ALWIL Software - D:\applic\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\applic\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\applic\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\applic\avast\ashWebSv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Google Update Service (gupdate1c985da10b9601e) - Unknown - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe
merci d'avance
Fred
j'ai lu plusieurs sujets concernant cette cochonnerie de b.exe avant de poster ici, je n'ai pas trouvé de solution.
je sature carrément des essais, et forcément des résultats non concluant, je pensais pourtant m'en sortir seul... je ne suis clairement pas assez compétant.
j'ai aussi msa.exe et surement d'autres programmes malveillants.
avg dernière version testée
spybot dernière version testé
avast dernière version testée
securser.com en ligne testé
à chaque redemarrage j'ai les memes soucis
impossible de virer une application dans le gestionnaire de taches, impossible de mettre les fichiers cachés en "visible", des impressions qui disparaissent ...Etc
ps : je suis en réseau et mes 2 postes sont infectés visiblement par b.exe mais surement pas des choses différentes.... si vous l'acceptez, on règlera le 2è poste plus tard, mais prenez en compte mon réseau
je suis sous XP version 2002, pro, SP3 (nouvellement installé), P4 2,4 Ghz, 1 Mo ram
voici mon hijack ci dessous....
Logfile of HijackThis v1.99.0
Scan saved at 12:34:41, on 15/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
G:\adawre\aawservice.exe
D:\applic\avast\aswUpdSv.exe
D:\applic\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\test\LOCALS~1\Temp\b.exe
C:\WINDOWS\msa.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\svchost.exe
D:\applic\avast\ashDisp.exe
C:\Documents and Settings\test\laqig.exe
D:\applic\avast\ashMaiSv.exe
D:\applic\avast\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis2\HijackThis2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LRI Internet Explorer
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [avast!] D:\applic\avast\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windos Video Link] video_lnk32.exe
O4 - HKCU\..\Run: [laqig] C:\Documents and Settings\test\laqig.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/291e6043451322ca3605/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - G:\adawre\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service - ALWIL Software - D:\applic\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\applic\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\applic\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\applic\avast\ashWebSv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Google Update Service (gupdate1c985da10b9601e) - Unknown - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe
merci d'avance
Fred
A voir également:
- B.exe MSA.exe et divers ( besoin d'aide
- Tous les divers - Télécharger - Pilotes & Matériel
- Divers cloud - Télécharger - Pilotes & Matériel
- Puzzles gratuits divers - Télécharger - Jeux vidéo
- Bon coin divers - Télécharger - Commerce
- Formules avec divers produits après soustraction de somme - Guide
18 réponses
Bonjour ;
télécharge malwarbyte http://www.malwarebytes.org/mbam/program/mbam-setup.exe
a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher
Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".
A la fin du scan clique sur Afficher les résultats
Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout
S'il t'es demandé de redémarrer >>> clique sur "Yes"
Et tu poste le rapport générer
------------------------------
hijackthis pas a jour prochain scan tu le fait avec rsit
Télécharge le ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que tu es libre...Merci a australe13
télécharge malwarbyte http://www.malwarebytes.org/mbam/program/mbam-setup.exe
a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher
Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".
A la fin du scan clique sur Afficher les résultats
Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout
S'il t'es demandé de redémarrer >>> clique sur "Yes"
Et tu poste le rapport générer
------------------------------
hijackthis pas a jour prochain scan tu le fait avec rsit
Télécharge le ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que tu es libre...Merci a australe13
Bonjour, si déjà tu as des infections lors de ton scan rapide, colle-nous ton rapport. Après, par sécurité, tu peux lancer éventuellement un scan complet.
Tient-nous au courant ;-)
Tient-nous au courant ;-)
logiciel intallé et lancé, il a tourné toute l'après midi et une partie de la nuit...
par contre, ce matin, le pc avait rebooté....
donc je n'ai pas lui demander de supprimer la selection, ni de générer un rapport a t'envoyer ici.
( la liste des rapports /log est vierge )
je recommence un scan rapide ( pour voir comment ca se termine, avec suppression et creation d'un rapport )
puis je refais un scan détaillé ou complet je suppose ??
par contre, ce matin, le pc avait rebooté....
donc je n'ai pas lui demander de supprimer la selection, ni de générer un rapport a t'envoyer ici.
( la liste des rapports /log est vierge )
je recommence un scan rapide ( pour voir comment ca se termine, avec suppression et creation d'un rapport )
puis je refais un scan détaillé ou complet je suppose ??
voila le rapport de mode rapide
ps : malwarebytes a planté lors de la suppression des fichiers
je relance donc pour vérifier et resupprimer
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3
16/09/2009 09:40:24
mbam-log-2009-09-16 (09-40-20).txt
Type de recherche: Examen rapide
Eléments examinés: 111854
Temps écoulé: 37 minute(s), 28 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\test\Local Settings\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\d.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\e.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\erxccjwivs.tmp (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\f.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Program Files\setup.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
ps : malwarebytes a planté lors de la suppression des fichiers
je relance donc pour vérifier et resupprimer
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3
16/09/2009 09:40:24
mbam-log-2009-09-16 (09-40-20).txt
Type de recherche: Examen rapide
Eléments examinés: 111854
Temps écoulé: 37 minute(s), 28 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\test\Local Settings\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\d.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\e.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\erxccjwivs.tmp (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\f.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Program Files\setup.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut
lance le scan en mode sans échec pour cela
Relancer le PC et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
y'a du monde en + c'est varier ver, malware, rootkit et trojan
lance le scan en mode sans échec pour cela
Relancer le PC et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
y'a du monde en + c'est varier ver, malware, rootkit et trojan
mode sans echec ok
suppression de quelques cochonneries à la suite et voila ne nouveau rapport :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3 (Safe Mode)
16/09/2009 10:42:59
mbam-log-2009-09-16 (10-42-50).txt
Type de recherche: Examen rapide
Eléments examinés: 110813
Temps écoulé: 8 minute(s), 6 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\test\Local Settings\Temp\d.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\e.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\erxccjwivs.tmp (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\f.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Program Files\setup.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
suppression de quelques cochonneries à la suite et voila ne nouveau rapport :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3 (Safe Mode)
16/09/2009 10:42:59
mbam-log-2009-09-16 (10-42-50).txt
Type de recherche: Examen rapide
Eléments examinés: 110813
Temps écoulé: 8 minute(s), 6 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\test\Local Settings\Temp\d.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\e.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\erxccjwivs.tmp (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\test\Local Settings\Temp\f.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Program Files\setup.exe (Rogue.Installer) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
No action taken.c'est que veut dire que tu na pas effectuer la suppression relance mbam
et va dans l'onglet quarantaine et supprime tout se qui s'y trouve si y'a rien refait un scan
et si t'est sur d'avoir fait la surpression va dans l'onglet log et poste le dernier rapport avec les suppression effectuer
et va dans l'onglet quarantaine et supprime tout se qui s'y trouve si y'a rien refait un scan
et si t'est sur d'avoir fait la surpression va dans l'onglet log et poste le dernier rapport avec les suppression effectuer
Exact, on ne peut rien vous cacher :)
les cochonneries se trouvaient en quarantaine, j'ai tout supprimé, et j'ai relancé un test rapide dont voici le log :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3
16/09/2009 13:12:03
mbam-log-2009-09-16 (13-12-03).txt
Type de recherche: Examen rapide
Eléments examinés: 112921
Temps écoulé: 21 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
en attendant, je vais faire un test complet, et je reviens poster le rapport.
les cochonneries se trouvaient en quarantaine, j'ai tout supprimé, et j'ai relancé un test rapide dont voici le log :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3
16/09/2009 13:12:03
mbam-log-2009-09-16 (13-12-03).txt
Type de recherche: Examen rapide
Eléments examinés: 112921
Temps écoulé: 21 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
en attendant, je vais faire un test complet, et je reviens poster le rapport.
voila le rapport du scan complet....
visiblement de ce coté là, ca a l'air clair.
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3
16/09/2009 16:03:28
mbam-log-2009-09-16 (16-03-28).txt
Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 219477
Temps écoulé: 2 hour(s), 46 minute(s), 49 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
visiblement de ce coté là, ca a l'air clair.
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2803
Windows 5.1.2600 Service Pack 3
16/09/2009 16:03:28
mbam-log-2009-09-16 (16-03-28).txt
Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 219477
Temps écoulé: 2 hour(s), 46 minute(s), 49 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
1) Télécharge SDFix d' AndyManchesta
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.
Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
N y touche pas pour l instant.
2) Redémarre en mode sans échec pour cela tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
3) SDFix
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.
Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
N y touche pas pour l instant.
2) Redémarre en mode sans échec pour cela tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
3) SDFix
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
tout s'est déroulé comme tu l'as décris, et voici le fichier report.txt
[b]SDFix: Version 1.240 [/b]
Run by test on 17/09/2009 at 11:54
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-17 12:10:25
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\applic\\eMule\\emule.exe"="D:\\applic\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 4 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 4 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 3 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 3 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 2 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 2 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 1 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 1 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Mon 14 Sep 2009 49,152 ..SHR --- "C:\Documents and Settings\test\laqig.exe"
Fri 11 Sep 2009 49,152 ..SHR --- "C:\Documents and Settings\test\sfyav.exe"
Sat 8 Jan 2005 56 A.SHR --- "C:\WINDOWS\system32\5132F20A7F.sys"
Fri 16 Jun 2006 10,856 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 11 Aug 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 26 May 2009 10,053,112 A..H. --- "C:\Program Files\Google\Picasa3\setup.exe"
Mon 25 Feb 2008 3,489,792 A..H. --- "C:\Documents and Settings\test\Application Data\U3\temp\Launchpad Removal.exe"
[b]Finished![/b]
[b]SDFix: Version 1.240 [/b]
Run by test on 17/09/2009 at 11:54
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-17 12:10:25
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\applic\\eMule\\emule.exe"="D:\\applic\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 4 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 4 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 3 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 3 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 2 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 2 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"C:\\WINDOWS\\Temp\\R‚pertoire temporaire 1 pour freezer v1.3.zip\\freezer.exe"="C:\\WINDOWS\\Temp\\R‚pertoire temporaire 1 pour freezer v1.3.zip\\freezer.exe:*:Disabled:freezer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Mon 14 Sep 2009 49,152 ..SHR --- "C:\Documents and Settings\test\laqig.exe"
Fri 11 Sep 2009 49,152 ..SHR --- "C:\Documents and Settings\test\sfyav.exe"
Sat 8 Jan 2005 56 A.SHR --- "C:\WINDOWS\system32\5132F20A7F.sys"
Fri 16 Jun 2006 10,856 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 11 Aug 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 26 May 2009 10,053,112 A..H. --- "C:\Program Files\Google\Picasa3\setup.exe"
Mon 25 Feb 2008 3,489,792 A..H. --- "C:\Documents and Settings\test\Application Data\U3\temp\Launchpad Removal.exe"
[b]Finished![/b]
Télécharge et installe UsbFix de C_XX & Chiquitine29 :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !
* Double clique sur UsbFix.exe présent sur le bureau.
Tape F pour français , et pressez enter pour valider
Dans le second menu qui apparait
* Choisis l’option 1 (Recherche)
* Laisse travailler l’outil.cela peut prendre plusieurs minutes, soit patient
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.
Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !
* Double clique sur UsbFix.exe présent sur le bureau.
Tape F pour français , et pressez enter pour valider
Dans le second menu qui apparait
* Choisis l’option 1 (Recherche)
* Laisse travailler l’outil.cela peut prendre plusieurs minutes, soit patient
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.
Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.
voici, voilou....
############################# | UsbFix V6.034 |
User : test (Administrateurs) # P4FREDO
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:55:57 | 17/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1351 [VPS 090916-0] 4.8.1351 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (1,09 Go free) [Disque local] # NTFS
D:\ -> Disque fixe local # 37,73 Go (3,15 Go free) [soft] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 37,3 Go (6,04 Go free) # FAT32
H:\ -> Disque fixe local # 232,85 Go (131,84 Go free) # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
G:\adawre\aawservice.exe
D:\applic\avast\aswUpdSv.exe
D:\applic\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\O9X00MC.EXE
D:\applic\avast\ashMaiSv.exe
D:\applic\avast\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
D:\applic\avast\ashDisp.exe
C:\Documents and Settings\test\laqig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Program Files\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\ACCESS\MSACCESS.EXE
C:\WINDOWS\SYSTEM32\WOWEXEC.EXE
################## | Fichiers # Dossiers infectieux |
D:\desktop.ini
H:\autorun.inf
H:\em8tqm.cmd
################## | Registre # Clés Run infectieuses |
[HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{04d62153-7b27-11dc-8289-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{091d1932-a988-11dd-8426-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{0ba0cb89-dd87-11dd-845c-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{0e37fe19-6244-11da-9ca1-000c6e5f2fda}
Shell\Auto\command =H:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{10aa1fe4-c83f-11dd-8449-000c6e5f2fda}
Shell\AutoRun\command =H:\Memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{10d021fa-60af-11de-8508-00160a148ec7}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{191b8a4a-0c57-11dd-8358-000c6e5f2fda}
Shell\AutoRun\command =ix8bmwx.bat
Shell\open\Command =ix8bmwx.bat
HKCU\..\..\Explorer\MountPoints2\{2185953c-28cf-11de-84ba-000c6e5f2fda}
Shell\AutoRun\command =H:\RavMon.exe
Shell\explore\Command =H:\RavMon.exe -e
Shell\open\Command =H:\RavMon.exe
HKCU\..\..\Explorer\MountPoints2\{2185953d-28cf-11de-84ba-000c6e5f2fda}
Shell\Auto\command =msnmsgr_plus.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL msnmsgr_plus.exe
HKCU\..\..\Explorer\MountPoints2\{221d229d-15fd-11de-84a1-000c6e5f2fda}
Shell\AutoRun\command =H:\jm3cx96.bat
Shell\open\Command =H:\jm3cx96.bat
HKCU\..\..\Explorer\MountPoints2\{221d22a1-15fd-11de-84a1-000c6e5f2fda}
Shell\AutoRun\command =H:\jm3cx96.bat
Shell\open\Command =H:\jm3cx96.bat
HKCU\..\..\Explorer\MountPoints2\{23470d5c-1852-11de-84a4-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{238e9326-c39c-11dd-843c-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{241935a7-ef44-11dc-832c-000c6e5f2fda}
Shell\AutoRun\command =H:\cqxj.exe
Shell\open\Command =H:\cqxj.exe
HKCU\..\..\Explorer\MountPoints2\{275bbabe-2033-11de-84ab-000c6e5f2fda}
Shell\AutoRun\command =H:\Memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{2c46900f-6b00-11de-8515-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{2c8ee3bc-0894-11de-848d-000c6e5f2fda}
Shell\AutoRun\command =H:\o.exe
Shell\open\Command =H:\o.exe
HKCU\..\..\Explorer\MountPoints2\{2df84516-ce53-11dc-82f9-000c6e5f2fda}
Shell\AutoRun\command =husyu8n.exe
Shell\open\Command =husyu8n.exe
HKCU\..\..\Explorer\MountPoints2\{31ddccf9-e31f-11dd-8463-000c6e5f2fda}
Shell\AutoRun\command =2u.com
Shell\explore\Command =2u.com
Shell\open\Command =2u.com
HKCU\..\..\Explorer\MountPoints2\{358237be-f433-11dd-8477-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{39e02ed2-2d96-11de-84c6-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{3be55d2a-3ed9-11de-84dc-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{3e39bba9-ad25-11db-b767-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{5a3bcd2b-191a-11de-84a5-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{65c3841e-4776-11de-84ec-00160a148ec7}
Shell\AutoRun\command =H:\ej10fkdo.bat
Shell\open\Command =H:\ej10fkdo.bat
HKCU\..\..\Explorer\MountPoints2\{67b33b2c-2a5d-11de-84c1-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{67b33b31-2a5d-11de-84c1-000c6e5f2fda}
Shell\AutoRun\command =H:\EmDesk.exe
Shell\EmDesk\command =H:\EmDesk.exe
HKCU\..\..\Explorer\MountPoints2\{67b95ec8-a664-11dd-8422-000c6e5f2fda}
Shell\Auto\command =H:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{67b95ecd-a664-11dd-8422-000c6e5f2fda}
Shell\AutoRun\command =H:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{67cd56e0-355b-11de-84d1-000c6e5f2fda}
Shell\AutoRun\command =H:\ReadMe.exe
HKCU\..\..\Explorer\MountPoints2\{6fe774b1-f6b4-11dd-847a-000c6e5f2fda}
Shell\AutoRun\command =H:\gyn.cmd
Shell\open\Command =H:\gyn.cmd
HKCU\..\..\Explorer\MountPoints2\{70b64542-2e6d-11de-84c7-000c6e5f2fda}
Shell\AutoRun\command =H:\Memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{7362b038-987d-11de-8542-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL JuLES.eXe
HKCU\..\..\Explorer\MountPoints2\{7387ae34-db0d-11dd-845a-000c6e5f2fda}
Shell\AutoRun\command =H:\npee.com
Shell\open\Command =H:\npee.com
HKCU\..\..\Explorer\MountPoints2\{781c535b-50f1-11de-84f6-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{781c535c-50f1-11de-84f6-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{7b0810bc-3178-11de-84ce-000c6e5f2fda}
Shell\AutoRun\command =I:\npee.com
Shell\open\Command =I:\npee.com
HKCU\..\..\Explorer\MountPoints2\{7c17aea0-7dab-11de-8529-00160a148ec7}
Shell\Auto\Command =wscript.exe SemiAntiVirus.vbs
Shell\AutoRun\command =wscript.exe SemiAntiVirus.vbs
Shell\Explore\Command =wscript.exe SemiAntiVirus.vbs
Shell\Find\Command =wscript.exe SemiAntiVirus.vbs
Shell\Format...\Command =wscript.exe SemiAntiVirus.vbs
Shell\open\Command =wscript.exe SemiAntiVirus.vbs
HKCU\..\..\Explorer\MountPoints2\{8196b983-88f7-11db-b735-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL TEST.exE
HKCU\..\..\Explorer\MountPoints2\{840fb281-068e-11de-848c-000c6e5f2fda}
Shell\AutoRun\command =H:\i.com
Shell\open\Command =H:\i.com
HKCU\..\..\Explorer\MountPoints2\{840fb284-068e-11de-848c-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{87019591-ff2b-11dd-8485-000c6e5f2fda}
Shell\AutoRun\command =H:\dbrxubcw.com
Shell\open\Command =H:\dbrxubcw.com
HKCU\..\..\Explorer\MountPoints2\{875c37eb-32d4-11dd-8394-000c6e5f2fda}
Shell\AutoRun\command =H:\luk1ylq.com
Shell\open\Command =H:\luk1ylq.com
HKCU\..\..\Explorer\MountPoints2\{898c6ef5-0a29-11de-848e-000c6e5f2fda}
Shell\AutoRun\command =H:\dbrxubcw.com
Shell\open\Command =H:\dbrxubcw.com
HKCU\..\..\Explorer\MountPoints2\{89b02c12-19db-11de-84a6-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{8a5d6304-ab24-11dd-8428-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{8d0a6895-49c8-11de-84ef-00160a148ec7}
Shell\AutoRun\command =H:\memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{95011c41-661d-11de-850c-00160a148ec7}
Shell\AutoRun\command =H:\9dlvtiil.exe
Shell\open\Command =H:\9dlvtiil.exe
HKCU\..\..\Explorer\MountPoints2\{96bcd985-4c23-11de-84f2-00160a148ec7}
Shell\AutoRun\command =H:\setupSNK.exe
HKCU\..\..\Explorer\MountPoints2\{9ca291f2-fb16-11dc-833e-000c6e5f2fda}
Shell\Auto\Command =wscript.exe SemiAntiVirus.vbs
Shell\AutoRun\command =wscript.exe SemiAntiVirus.vbs
Shell\Explore\Command =wscript.exe SemiAntiVirus.vbs
Shell\Find\Command =wscript.exe SemiAntiVirus.vbs
Shell\Format...\Command =wscript.exe SemiAntiVirus.vbs
Shell\open\Command =wscript.exe SemiAntiVirus.vbs
HKCU\..\..\Explorer\MountPoints2\{a34ca570-9228-11de-853b-00160a148ec7}
Shell\AutoRun\command =I:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{a66f2f35-0c81-11de-8490-000c6e5f2fda}
Shell\AutoRun\command =H:\i.com
Shell\open\Command =H:\i.com
HKCU\..\..\Explorer\MountPoints2\{a66f2f39-0c81-11de-8490-000c6e5f2fda}
Shell\AutoRun\command =H:\cb.exe
Shell\open\Command =H:\cb.exe
HKCU\..\..\Explorer\MountPoints2\{a66f2f3c-0c81-11de-8490-000c6e5f2fda}
Shell\AutoRun\command =H:\cb.exe
Shell\open\Command =H:\cb.exe
HKCU\..\..\Explorer\MountPoints2\{b1fd4f36-67a6-11de-850e-00160a148ec7}
Shell\AutoRun\command =H:\memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{b509f246-2622-11dc-b84c-000c6e5f2fda}
Shell\Auto\command =ftxcsqbfg.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ftxcsqbfg.exe
HKCU\..\..\Explorer\MountPoints2\{b73f9224-227f-11de-84b2-000c6e5f2fda}
Shell\AutoRun\command =H:\upw.bat
Shell\open\Command =H:\upw.bat
HKCU\..\..\Explorer\MountPoints2\{b8d82d48-e11c-11dc-8318-000c6e5f2fda}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{c1aa71b7-1232-11de-8494-000c6e5f2fda}
Shell\AutoRun\command =H:\luk1ylq.com
Shell\open\Command =H:\luk1ylq.com
HKCU\..\..\Explorer\MountPoints2\{c2ee3370-4cf6-11de-84f4-00160a148ec7}
Shell\1\Command =H:\Recycled.exe
Shell\2\Command =H:\Recycled.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled.exe
HKCU\..\..\Explorer\MountPoints2\{c86231a7-ce7e-11dd-844f-000c6e5f2fda}
Shell\AutoRun\command =H:\dbrxubcw.com
Shell\open\Command =H:\dbrxubcw.com
HKCU\..\..\Explorer\MountPoints2\{d14c2e57-f910-11dd-847d-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{d1b4839e-13b6-11de-8496-000c6e5f2fda}
Shell\AutoRun\command =H:\0bcobed.exe
Shell\open\Command =H:\0bcobed.exe
HKCU\..\..\Explorer\MountPoints2\{d3338c8c-c6d5-11dd-8443-000c6e5f2fda}
Shell\AutoRun\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
Shell\open\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
HKCU\..\..\Explorer\MountPoints2\{d442adf0-fd9f-11dd-8483-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{d9a44692-e303-11dd-8461-000c6e5f2fda}
Shell\Auto\Command =wscript.exe SemiAntiVirus.vbs
Shell\AutoRun\command =wscript.exe SemiAntiVirus.vbs
Shell\Explore\Command =wscript.exe SemiAntiVirus.vbs
Shell\Find\Command =wscript.exe SemiAntiVirus.vbs
Shell\Format...\Command =wscript.exe SemiAntiVirus.vbs
Shell\open\Command =wscript.exe SemiAntiVirus.vbs
HKCU\..\..\Explorer\MountPoints2\{dd6b60a5-c11b-11dd-843a-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{df7e6097-450c-11de-84e9-00160a148ec7}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{df8b4e7f-155f-11de-84a0-000c6e5f2fda}
Shell\AutoRun\command =H:\jm3cx96.bat
Shell\open\Command =H:\jm3cx96.bat
HKCU\..\..\Explorer\MountPoints2\{e04e37e7-1e96-11de-84a9-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{e367c003-178c-11de-84a2-000c6e5f2fda}
Shell\AutoRun\command =em8tqm.cmd
Shell\open\Command =em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{e6867b70-267f-11de-84b9-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe
HKCU\..\..\Explorer\MountPoints2\{e6cf805e-24d4-11de-84b7-000c6e5f2fda}
Shell\AutoRun\command =1ogf.exe
Shell\open\Command =1ogf.exe
HKCU\..\..\Explorer\MountPoints2\{e6cf8061-24d4-11de-84b7-000c6e5f2fda}
Shell\AutoRun\command =1ogf.exe
Shell\open\Command =1ogf.exe
HKCU\..\..\Explorer\MountPoints2\{e93379f6-1d6f-11dc-b83d-000c6e5f2fda}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{f0b3da42-0fa6-11de-8491-000c6e5f2fda}
Shell\AutoRun\command =H:\xdw.com
Shell\open\Command =H:\xdw.com
HKCU\..\..\Explorer\MountPoints2\{f65b952f-5659-11de-84fc-00160a148ec7}
Shell\Auto\command =Long.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Long.exe
HKCU\..\..\Explorer\MountPoints2\{f6c232ce-3305-11de-84cf-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe fm9l903qihfjdt2b1g1cg6ywedd653.vbs
HKCU\..\..\Explorer\MountPoints2\{f6c232d5-3305-11de-84cf-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(&0)\command =Recycled\ctfmon.exe
HKCU\..\..\Explorer\MountPoints2\{f6c232d8-3305-11de-84cf-000c6e5f2fda}
Shell\AutoRun\command =i.cmd
Shell\open\Command =i.cmd
HKCU\..\..\Explorer\MountPoints2\{fb9e9863-205b-11de-84ae-000c6e5f2fda}
Shell\AutoRun\command =H:\cqxj.exe
Shell\open\Command =H:\cqxj.exe
HKCU\..\..\Explorer\MountPoints2\{fb9e9864-205b-11de-84ae-000c6e5f2fda}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{fe8384c5-2fe7-11de-84cb-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
################## | ! Fin du rapport # UsbFix V6.034 ! |
############################# | UsbFix V6.034 |
User : test (Administrateurs) # P4FREDO
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:55:57 | 17/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1351 [VPS 090916-0] 4.8.1351 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (1,09 Go free) [Disque local] # NTFS
D:\ -> Disque fixe local # 37,73 Go (3,15 Go free) [soft] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 37,3 Go (6,04 Go free) # FAT32
H:\ -> Disque fixe local # 232,85 Go (131,84 Go free) # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
G:\adawre\aawservice.exe
D:\applic\avast\aswUpdSv.exe
D:\applic\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\O9X00MC.EXE
D:\applic\avast\ashMaiSv.exe
D:\applic\avast\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
D:\applic\avast\ashDisp.exe
C:\Documents and Settings\test\laqig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Program Files\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\ACCESS\MSACCESS.EXE
C:\WINDOWS\SYSTEM32\WOWEXEC.EXE
################## | Fichiers # Dossiers infectieux |
D:\desktop.ini
H:\autorun.inf
H:\em8tqm.cmd
################## | Registre # Clés Run infectieuses |
[HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{04d62153-7b27-11dc-8289-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{091d1932-a988-11dd-8426-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{0ba0cb89-dd87-11dd-845c-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{0e37fe19-6244-11da-9ca1-000c6e5f2fda}
Shell\Auto\command =H:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{10aa1fe4-c83f-11dd-8449-000c6e5f2fda}
Shell\AutoRun\command =H:\Memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{10d021fa-60af-11de-8508-00160a148ec7}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{191b8a4a-0c57-11dd-8358-000c6e5f2fda}
Shell\AutoRun\command =ix8bmwx.bat
Shell\open\Command =ix8bmwx.bat
HKCU\..\..\Explorer\MountPoints2\{2185953c-28cf-11de-84ba-000c6e5f2fda}
Shell\AutoRun\command =H:\RavMon.exe
Shell\explore\Command =H:\RavMon.exe -e
Shell\open\Command =H:\RavMon.exe
HKCU\..\..\Explorer\MountPoints2\{2185953d-28cf-11de-84ba-000c6e5f2fda}
Shell\Auto\command =msnmsgr_plus.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL msnmsgr_plus.exe
HKCU\..\..\Explorer\MountPoints2\{221d229d-15fd-11de-84a1-000c6e5f2fda}
Shell\AutoRun\command =H:\jm3cx96.bat
Shell\open\Command =H:\jm3cx96.bat
HKCU\..\..\Explorer\MountPoints2\{221d22a1-15fd-11de-84a1-000c6e5f2fda}
Shell\AutoRun\command =H:\jm3cx96.bat
Shell\open\Command =H:\jm3cx96.bat
HKCU\..\..\Explorer\MountPoints2\{23470d5c-1852-11de-84a4-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{238e9326-c39c-11dd-843c-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{241935a7-ef44-11dc-832c-000c6e5f2fda}
Shell\AutoRun\command =H:\cqxj.exe
Shell\open\Command =H:\cqxj.exe
HKCU\..\..\Explorer\MountPoints2\{275bbabe-2033-11de-84ab-000c6e5f2fda}
Shell\AutoRun\command =H:\Memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{2c46900f-6b00-11de-8515-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{2c8ee3bc-0894-11de-848d-000c6e5f2fda}
Shell\AutoRun\command =H:\o.exe
Shell\open\Command =H:\o.exe
HKCU\..\..\Explorer\MountPoints2\{2df84516-ce53-11dc-82f9-000c6e5f2fda}
Shell\AutoRun\command =husyu8n.exe
Shell\open\Command =husyu8n.exe
HKCU\..\..\Explorer\MountPoints2\{31ddccf9-e31f-11dd-8463-000c6e5f2fda}
Shell\AutoRun\command =2u.com
Shell\explore\Command =2u.com
Shell\open\Command =2u.com
HKCU\..\..\Explorer\MountPoints2\{358237be-f433-11dd-8477-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{39e02ed2-2d96-11de-84c6-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{3be55d2a-3ed9-11de-84dc-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{3e39bba9-ad25-11db-b767-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{5a3bcd2b-191a-11de-84a5-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{65c3841e-4776-11de-84ec-00160a148ec7}
Shell\AutoRun\command =H:\ej10fkdo.bat
Shell\open\Command =H:\ej10fkdo.bat
HKCU\..\..\Explorer\MountPoints2\{67b33b2c-2a5d-11de-84c1-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{67b33b31-2a5d-11de-84c1-000c6e5f2fda}
Shell\AutoRun\command =H:\EmDesk.exe
Shell\EmDesk\command =H:\EmDesk.exe
HKCU\..\..\Explorer\MountPoints2\{67b95ec8-a664-11dd-8422-000c6e5f2fda}
Shell\Auto\command =H:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{67b95ecd-a664-11dd-8422-000c6e5f2fda}
Shell\AutoRun\command =H:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{67cd56e0-355b-11de-84d1-000c6e5f2fda}
Shell\AutoRun\command =H:\ReadMe.exe
HKCU\..\..\Explorer\MountPoints2\{6fe774b1-f6b4-11dd-847a-000c6e5f2fda}
Shell\AutoRun\command =H:\gyn.cmd
Shell\open\Command =H:\gyn.cmd
HKCU\..\..\Explorer\MountPoints2\{70b64542-2e6d-11de-84c7-000c6e5f2fda}
Shell\AutoRun\command =H:\Memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{7362b038-987d-11de-8542-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL JuLES.eXe
HKCU\..\..\Explorer\MountPoints2\{7387ae34-db0d-11dd-845a-000c6e5f2fda}
Shell\AutoRun\command =H:\npee.com
Shell\open\Command =H:\npee.com
HKCU\..\..\Explorer\MountPoints2\{781c535b-50f1-11de-84f6-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{781c535c-50f1-11de-84f6-00160a148ec7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{7b0810bc-3178-11de-84ce-000c6e5f2fda}
Shell\AutoRun\command =I:\npee.com
Shell\open\Command =I:\npee.com
HKCU\..\..\Explorer\MountPoints2\{7c17aea0-7dab-11de-8529-00160a148ec7}
Shell\Auto\Command =wscript.exe SemiAntiVirus.vbs
Shell\AutoRun\command =wscript.exe SemiAntiVirus.vbs
Shell\Explore\Command =wscript.exe SemiAntiVirus.vbs
Shell\Find\Command =wscript.exe SemiAntiVirus.vbs
Shell\Format...\Command =wscript.exe SemiAntiVirus.vbs
Shell\open\Command =wscript.exe SemiAntiVirus.vbs
HKCU\..\..\Explorer\MountPoints2\{8196b983-88f7-11db-b735-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL TEST.exE
HKCU\..\..\Explorer\MountPoints2\{840fb281-068e-11de-848c-000c6e5f2fda}
Shell\AutoRun\command =H:\i.com
Shell\open\Command =H:\i.com
HKCU\..\..\Explorer\MountPoints2\{840fb284-068e-11de-848c-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{87019591-ff2b-11dd-8485-000c6e5f2fda}
Shell\AutoRun\command =H:\dbrxubcw.com
Shell\open\Command =H:\dbrxubcw.com
HKCU\..\..\Explorer\MountPoints2\{875c37eb-32d4-11dd-8394-000c6e5f2fda}
Shell\AutoRun\command =H:\luk1ylq.com
Shell\open\Command =H:\luk1ylq.com
HKCU\..\..\Explorer\MountPoints2\{898c6ef5-0a29-11de-848e-000c6e5f2fda}
Shell\AutoRun\command =H:\dbrxubcw.com
Shell\open\Command =H:\dbrxubcw.com
HKCU\..\..\Explorer\MountPoints2\{89b02c12-19db-11de-84a6-000c6e5f2fda}
Shell\AutoRun\command =H:\em8tqm.cmd
Shell\open\Command =H:\em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{8a5d6304-ab24-11dd-8428-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{8d0a6895-49c8-11de-84ef-00160a148ec7}
Shell\AutoRun\command =H:\memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{95011c41-661d-11de-850c-00160a148ec7}
Shell\AutoRun\command =H:\9dlvtiil.exe
Shell\open\Command =H:\9dlvtiil.exe
HKCU\..\..\Explorer\MountPoints2\{96bcd985-4c23-11de-84f2-00160a148ec7}
Shell\AutoRun\command =H:\setupSNK.exe
HKCU\..\..\Explorer\MountPoints2\{9ca291f2-fb16-11dc-833e-000c6e5f2fda}
Shell\Auto\Command =wscript.exe SemiAntiVirus.vbs
Shell\AutoRun\command =wscript.exe SemiAntiVirus.vbs
Shell\Explore\Command =wscript.exe SemiAntiVirus.vbs
Shell\Find\Command =wscript.exe SemiAntiVirus.vbs
Shell\Format...\Command =wscript.exe SemiAntiVirus.vbs
Shell\open\Command =wscript.exe SemiAntiVirus.vbs
HKCU\..\..\Explorer\MountPoints2\{a34ca570-9228-11de-853b-00160a148ec7}
Shell\AutoRun\command =I:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{a66f2f35-0c81-11de-8490-000c6e5f2fda}
Shell\AutoRun\command =H:\i.com
Shell\open\Command =H:\i.com
HKCU\..\..\Explorer\MountPoints2\{a66f2f39-0c81-11de-8490-000c6e5f2fda}
Shell\AutoRun\command =H:\cb.exe
Shell\open\Command =H:\cb.exe
HKCU\..\..\Explorer\MountPoints2\{a66f2f3c-0c81-11de-8490-000c6e5f2fda}
Shell\AutoRun\command =H:\cb.exe
Shell\open\Command =H:\cb.exe
HKCU\..\..\Explorer\MountPoints2\{b1fd4f36-67a6-11de-850e-00160a148ec7}
Shell\AutoRun\command =H:\memorybar.exe
HKCU\..\..\Explorer\MountPoints2\{b509f246-2622-11dc-b84c-000c6e5f2fda}
Shell\Auto\command =ftxcsqbfg.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ftxcsqbfg.exe
HKCU\..\..\Explorer\MountPoints2\{b73f9224-227f-11de-84b2-000c6e5f2fda}
Shell\AutoRun\command =H:\upw.bat
Shell\open\Command =H:\upw.bat
HKCU\..\..\Explorer\MountPoints2\{b8d82d48-e11c-11dc-8318-000c6e5f2fda}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{c1aa71b7-1232-11de-8494-000c6e5f2fda}
Shell\AutoRun\command =H:\luk1ylq.com
Shell\open\Command =H:\luk1ylq.com
HKCU\..\..\Explorer\MountPoints2\{c2ee3370-4cf6-11de-84f4-00160a148ec7}
Shell\1\Command =H:\Recycled.exe
Shell\2\Command =H:\Recycled.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled.exe
HKCU\..\..\Explorer\MountPoints2\{c86231a7-ce7e-11dd-844f-000c6e5f2fda}
Shell\AutoRun\command =H:\dbrxubcw.com
Shell\open\Command =H:\dbrxubcw.com
HKCU\..\..\Explorer\MountPoints2\{d14c2e57-f910-11dd-847d-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{d1b4839e-13b6-11de-8496-000c6e5f2fda}
Shell\AutoRun\command =H:\0bcobed.exe
Shell\open\Command =H:\0bcobed.exe
HKCU\..\..\Explorer\MountPoints2\{d3338c8c-c6d5-11dd-8443-000c6e5f2fda}
Shell\AutoRun\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
Shell\open\command =RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
HKCU\..\..\Explorer\MountPoints2\{d442adf0-fd9f-11dd-8483-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{d9a44692-e303-11dd-8461-000c6e5f2fda}
Shell\Auto\Command =wscript.exe SemiAntiVirus.vbs
Shell\AutoRun\command =wscript.exe SemiAntiVirus.vbs
Shell\Explore\Command =wscript.exe SemiAntiVirus.vbs
Shell\Find\Command =wscript.exe SemiAntiVirus.vbs
Shell\Format...\Command =wscript.exe SemiAntiVirus.vbs
Shell\open\Command =wscript.exe SemiAntiVirus.vbs
HKCU\..\..\Explorer\MountPoints2\{dd6b60a5-c11b-11dd-843a-000c6e5f2fda}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{df7e6097-450c-11de-84e9-00160a148ec7}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe
HKCU\..\..\Explorer\MountPoints2\{df8b4e7f-155f-11de-84a0-000c6e5f2fda}
Shell\AutoRun\command =H:\jm3cx96.bat
Shell\open\Command =H:\jm3cx96.bat
HKCU\..\..\Explorer\MountPoints2\{e04e37e7-1e96-11de-84a9-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKCU\..\..\Explorer\MountPoints2\{e367c003-178c-11de-84a2-000c6e5f2fda}
Shell\AutoRun\command =em8tqm.cmd
Shell\open\Command =em8tqm.cmd
HKCU\..\..\Explorer\MountPoints2\{e6867b70-267f-11de-84b9-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe
HKCU\..\..\Explorer\MountPoints2\{e6cf805e-24d4-11de-84b7-000c6e5f2fda}
Shell\AutoRun\command =1ogf.exe
Shell\open\Command =1ogf.exe
HKCU\..\..\Explorer\MountPoints2\{e6cf8061-24d4-11de-84b7-000c6e5f2fda}
Shell\AutoRun\command =1ogf.exe
Shell\open\Command =1ogf.exe
HKCU\..\..\Explorer\MountPoints2\{e93379f6-1d6f-11dc-b83d-000c6e5f2fda}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{f0b3da42-0fa6-11de-8491-000c6e5f2fda}
Shell\AutoRun\command =H:\xdw.com
Shell\open\Command =H:\xdw.com
HKCU\..\..\Explorer\MountPoints2\{f65b952f-5659-11de-84fc-00160a148ec7}
Shell\Auto\command =Long.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Long.exe
HKCU\..\..\Explorer\MountPoints2\{f6c232ce-3305-11de-84cf-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe fm9l903qihfjdt2b1g1cg6ywedd653.vbs
HKCU\..\..\Explorer\MountPoints2\{f6c232d5-3305-11de-84cf-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(&0)\command =Recycled\ctfmon.exe
HKCU\..\..\Explorer\MountPoints2\{f6c232d8-3305-11de-84cf-000c6e5f2fda}
Shell\AutoRun\command =i.cmd
Shell\open\Command =i.cmd
HKCU\..\..\Explorer\MountPoints2\{fb9e9863-205b-11de-84ae-000c6e5f2fda}
Shell\AutoRun\command =H:\cqxj.exe
Shell\open\Command =H:\cqxj.exe
HKCU\..\..\Explorer\MountPoints2\{fb9e9864-205b-11de-84ae-000c6e5f2fda}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{fe8384c5-2fe7-11de-84cb-000c6e5f2fda}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
################## | ! Fin du rapport # UsbFix V6.034 ! |
Relance usbfix
Choisie l'option 2(Suppression)toujours avec un clique droit et exécute le en tant qu'administrateur
Le bureau disparait et le pc redémarre
Patiente le temps du scan.
le rapport UsbFix.txt est sauvegardé à la racine du disque
Faites en un copier/coller dans le bloc notes pour le poster.
Choisie l'option 2(Suppression)toujours avec un clique droit et exécute le en tant qu'administrateur
Le bureau disparait et le pc redémarre
Patiente le temps du scan.
le rapport UsbFix.txt est sauvegardé à la racine du disque
Faites en un copier/coller dans le bloc notes pour le poster.
bien....
j'ai lancé le prog hier en fin d'aprem, et ce matin en arrivant au bureau, j'ai toujours l'écran bleu, avec aucune icone, et j'ai le pointeur de la souris.
De part le réseau j'arrive a accéder aux disques durs, et j'ai aussi accès au gestionnaire de taches par ctrl+ alt +supp .... rien a l'air bloqué visiblement.
dois-je rebooter le PC ?
j'ai lancé le prog hier en fin d'aprem, et ce matin en arrivant au bureau, j'ai toujours l'écran bleu, avec aucune icone, et j'ai le pointeur de la souris.
De part le réseau j'arrive a accéder aux disques durs, et j'ai aussi accès au gestionnaire de taches par ctrl+ alt +supp .... rien a l'air bloqué visiblement.
dois-je rebooter le PC ?
après reboot....voici le fichier généré, que j'ai renvoyé pour mettre a jour leur base.
############################## | UsbFix V6.034 |
User : test () # P4FREDO
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 13:38:33 | 18/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1351 [VPS 090917-0] 4.8.1351 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (1,04 Go free) [Disque local] # NTFS
D:\ -> Disque fixe local # 37,73 Go (3,15 Go free) [soft] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 37,3 Go (6,03 Go free) # FAT32
H:\ -> Disque fixe local # 232,85 Go (131,84 Go free) # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
G:\adawre\aawservice.exe
D:\applic\avast\aswUpdSv.exe
D:\applic\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\O9X00MC.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Supprimé ! D:\desktop.ini
Supprimé ! H:\autorun.inf
Supprimé ! H:\em8tqm.cmd
################## | Registre # Clés Run infectieuses |
Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
############################## | UsbFix V6.034 |
User : test () # P4FREDO
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 13:38:33 | 18/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1351 [VPS 090917-0] 4.8.1351 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (1,04 Go free) [Disque local] # NTFS
D:\ -> Disque fixe local # 37,73 Go (3,15 Go free) [soft] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 37,3 Go (6,03 Go free) # FAT32
H:\ -> Disque fixe local # 232,85 Go (131,84 Go free) # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
G:\adawre\aawservice.exe
D:\applic\avast\aswUpdSv.exe
D:\applic\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\O9X00MC.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Supprimé ! D:\desktop.ini
Supprimé ! H:\autorun.inf
Supprimé ! H:\em8tqm.cmd
################## | Registre # Clés Run infectieuses |
Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft]
salut
normalement usbfix ne met pas aussi longtemps quelque chose doit le bloquer même s'il a fait quelque suppression
Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)
::Si combofix detecte quelque chose et de demande a redemarer tu accepte
normalement usbfix ne met pas aussi longtemps quelque chose doit le bloquer même s'il a fait quelque suppression
Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)
::Si combofix detecte quelque chose et de demande a redemarer tu accepte
