Virus bagle ou non?
tirbou
-
neo*** Messages postés 3115 Date d'inscription Statut Contributeur sécurité Dernière intervention -
neo*** Messages postés 3115 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai actuellement un probleme avec un virus present sur mon ordinateur. Voici les differents symptomes:
- desinstallation de mes logiciels antivirus et impossibilité d'en installer de nouveau
- connexions wifi moins performantes qu'avant
- mode sans echec "desactivé"
En fouillant sur internet j'ai d'abord pensé que c'était le virus bagle mais apres avoir testé elibagla, combofix et findykill et que tous m'ont affiché que le virus bagle n'était pas present sur mon pc, je commence à avoir des doutes. J'aurai donc voulu savoir si vous aviez une idée de ce que ca pouvait être sachant que même en reformatant le virus ne part pas.
merci
J'ai actuellement un probleme avec un virus present sur mon ordinateur. Voici les differents symptomes:
- desinstallation de mes logiciels antivirus et impossibilité d'en installer de nouveau
- connexions wifi moins performantes qu'avant
- mode sans echec "desactivé"
En fouillant sur internet j'ai d'abord pensé que c'était le virus bagle mais apres avoir testé elibagla, combofix et findykill et que tous m'ont affiché que le virus bagle n'était pas present sur mon pc, je commence à avoir des doutes. J'aurai donc voulu savoir si vous aviez une idée de ce que ca pouvait être sachant que même en reformatant le virus ne part pas.
merci
A voir également:
- Virus bagle ou non?
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
13 réponses
desolé pour le retard mais ma connexion est galère, voici le rapport combofix:
J'ai déja essayé l'option 2 mais sans reel succes.
ComboFix 09-09-18.02 - tirbou 19/09/2009 17:55.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1617 [GMT 2:00]
Lancé depuis: c:\documents and settings\tirbou\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Alcmtr.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
((((((((((((((((((((((((((((( Fichiers créés du 2009-08-19 au 2009-09-19 ))))))))))))))))))))))))))))))))))))
.
2009-09-19 15:43 . 2009-09-19 15:43 -------- d-----w- c:\program files\Trend Micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-19 15:30 . 2004-08-10 19:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-19 15:30 . 2004-08-10 19:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-19 14:20 . 2009-09-19 14:20 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-19 14:20 . 2009-09-19 14:20 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-19 14:20 . 2009-09-19 14:20 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-19 14:20 . 2009-09-19 14:20 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-19 14:20 . 2009-09-19 14:20 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-19 14:20 . 2009-09-19 14:20 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-19 14:20 . 2009-09-19 14:20 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-19 14:20 . 2009-09-19 14:20 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-09-19 13:41 . 2009-09-19 13:41 0 ----a-w- c:\windows\nsreg.dat
2009-09-19 13:01 . 2009-09-19 13:01 13888 ----a-w- c:\documents and settings\tirbou\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-19 12:58 . 2009-09-19 12:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-19 12:57 . 2009-09-19 12:57 -------- d-----w- c:\program files\Synaptics
2009-09-19 12:57 . 2009-09-19 12:55 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-19 12:57 . 2009-09-19 12:57 -------- d-----w- c:\program files\Realtek
2009-09-19 12:55 . 2009-09-19 12:55 -------- d-----w- c:\program files\Intel
2009-09-19 12:55 . 2009-09-19 12:55 -------- d-----w- c:\program files\VIA
2009-09-19 12:48 . 2009-09-19 12:48 129 ----a-w- c:\documents and settings\tirbou\Local Settings\Application Data\fusioncache.dat
2009-09-19 12:41 . 2009-09-19 12:41 -------- d-----w- c:\program files\microsoft frontpage
2009-09-19 12:39 . 2009-09-19 12:39 -------- d-----w- c:\program files\Java
2009-09-19 12:39 . 2009-09-19 12:39 -------- d-----w- c:\program files\Fichiers communs\Java
2009-09-19 12:34 . 2009-09-19 12:34 -------- d-----w- c:\program files\Services en ligne
2009-09-19 12:32 . 2009-09-19 12:32 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-19 12:31 . 2009-09-19 12:31 -------- d-----w- c:\program files\Windows Plus
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 106607]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-08-12 1056768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-03 7405568]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-10 110592]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-05-03 1601536]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-11 16267776]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2005-09-16 557056]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\fsc\\MCE_CloseHW\\HARDWAREWINDOW.EXE"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\WINDOWS\\ehome\\ehtray.exe"=
"c:\\WINDOWS\\system32\\CF8391.exe"=
"c:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"=
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ASC3360PR
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\tirbou\Application Data\Mozilla\Firefox\Profiles\yynk52tt.default\
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-19 18:00
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\rundll32.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\windows\system32\nvsvc32.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2009-09-19 18:02 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-19 16:02
Avant-CF: 113 510 445 056 octets libres
Après-CF: 113 400 360 960 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
124
J'ai déja essayé l'option 2 mais sans reel succes.
ComboFix 09-09-18.02 - tirbou 19/09/2009 17:55.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1617 [GMT 2:00]
Lancé depuis: c:\documents and settings\tirbou\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Alcmtr.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
((((((((((((((((((((((((((((( Fichiers créés du 2009-08-19 au 2009-09-19 ))))))))))))))))))))))))))))))))))))
.
2009-09-19 15:43 . 2009-09-19 15:43 -------- d-----w- c:\program files\Trend Micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-19 15:30 . 2004-08-10 19:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-19 15:30 . 2004-08-10 19:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-19 14:20 . 2009-09-19 14:20 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-19 14:20 . 2009-09-19 14:20 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-19 14:20 . 2009-09-19 14:20 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-19 14:20 . 2009-09-19 14:20 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-19 14:20 . 2009-09-19 14:20 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-19 14:20 . 2009-09-19 14:20 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-19 14:20 . 2009-09-19 14:20 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-19 14:20 . 2009-09-19 14:20 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-09-19 13:41 . 2009-09-19 13:41 0 ----a-w- c:\windows\nsreg.dat
2009-09-19 13:01 . 2009-09-19 13:01 13888 ----a-w- c:\documents and settings\tirbou\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-19 12:58 . 2009-09-19 12:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-19 12:57 . 2009-09-19 12:57 -------- d-----w- c:\program files\Synaptics
2009-09-19 12:57 . 2009-09-19 12:55 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-19 12:57 . 2009-09-19 12:57 -------- d-----w- c:\program files\Realtek
2009-09-19 12:55 . 2009-09-19 12:55 -------- d-----w- c:\program files\Intel
2009-09-19 12:55 . 2009-09-19 12:55 -------- d-----w- c:\program files\VIA
2009-09-19 12:48 . 2009-09-19 12:48 129 ----a-w- c:\documents and settings\tirbou\Local Settings\Application Data\fusioncache.dat
2009-09-19 12:41 . 2009-09-19 12:41 -------- d-----w- c:\program files\microsoft frontpage
2009-09-19 12:39 . 2009-09-19 12:39 -------- d-----w- c:\program files\Java
2009-09-19 12:39 . 2009-09-19 12:39 -------- d-----w- c:\program files\Fichiers communs\Java
2009-09-19 12:34 . 2009-09-19 12:34 -------- d-----w- c:\program files\Services en ligne
2009-09-19 12:32 . 2009-09-19 12:32 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-19 12:31 . 2009-09-19 12:31 -------- d-----w- c:\program files\Windows Plus
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 106607]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-08-12 1056768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-03 7405568]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-10 110592]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-05-03 1601536]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-11 16267776]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2005-09-16 557056]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\fsc\\MCE_CloseHW\\HARDWAREWINDOW.EXE"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\WINDOWS\\ehome\\ehtray.exe"=
"c:\\WINDOWS\\system32\\CF8391.exe"=
"c:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"=
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ASC3360PR
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\tirbou\Application Data\Mozilla\Firefox\Profiles\yynk52tt.default\
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-19 18:00
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\rundll32.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\windows\system32\nvsvc32.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2009-09-19 18:02 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-09-19 16:02
Avant-CF: 113 510 445 056 octets libres
Après-CF: 113 400 360 960 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
124
Pour analyser ton pc : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le log
Logfile of random's system information tool 1.06 (written by random/random)
Run by tirbou at 2009-09-19 18:21:15
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 108 GB (94%) free of 114 GB
Total RAM: 2046 MB (84% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:17, on 19/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\winbjlncc.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\ghcm.exe
E:\rivk.exe
E:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\tirbou.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by tirbou at 2009-09-19 18:21:15
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 108 GB (94%) free of 114 GB
Total RAM: 2046 MB (84% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:17, on 19/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\winbjlncc.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\ghcm.exe
E:\rivk.exe
E:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\tirbou.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
et voici le info
info.txt logfile of random's system information tool 1.06 2009-09-19 18:21:18
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Correctif n° 2 pour Windows XP Édition Media Center 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Correctif pour Windows XP (KB888795)-->"C:\WINDOWS\$NtUninstallKB888795$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB891593)-->"C:\WINDOWS\$NtUninstallKB891593$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB899337)-->"C:\WINDOWS\$NtUninstallKB899337$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB899510)-->"C:\WINDOWS\$NtUninstallKB899510$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB902841)-->"C:\WINDOWS\$NtUninstallKB902841$\spuninst\spuninst.exe"
Correctif Windows XP - KB895961-->"C:\WINDOWS\$NtUninstallKB895961$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Mise à jour de sécurité pour Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB912945)-->"C:\WINDOWS\$NtUninstallKB912945$\spuninst\spuninst.exe"
Motorola SM56 Data Fax Modem-->rundll32.exe sm56co.dll,SM56UnInstaller
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\setup.exe" -l0x40c REMOVE
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x40c -removeonly
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
======System event log======
Computer Name: TIRBOUCHON
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'MSHOME'.
Record Number: 5
Source Name: Workstation
Time Written: 20090919142823.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers TIRBOUCHON.
Record Number: 4
Source Name: EventLog
Time Written: 20090919142531.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 18
Message: Windows ne peut pas enregistrer les clés de liaison Bluetooth sur le transmetteur local car il ne peut pas déterminer si la sécurité appropriée est activée pour le périphérique.
Record Number: 3
Source Name: BTHUSB
Time Written: 20090919162130.000000+120
Event Type: Avertissement
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 2
Source Name: EventLog
Time Written: 20090919161924.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.
Record Number: 1
Source Name: EventLog
Time Written: 20090919161924.000000+120
Event Type: Informations
User:
=====Application event log=====
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 5
Source Name: LoadPerf
Time Written: 20090919143202.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 4
Source Name: LoadPerf
Time Written: 20090919143200.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 3
Source Name: LoadPerf
Time Written: 20090919142537.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 2
Source Name: LoadPerf
Time Written: 20090919142533.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 1
Source Name: LoadPerf
Time Written: 20090919142532.000000+120
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
info.txt logfile of random's system information tool 1.06 2009-09-19 18:21:18
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Correctif n° 2 pour Windows XP Édition Media Center 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Correctif pour Windows XP (KB888795)-->"C:\WINDOWS\$NtUninstallKB888795$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB891593)-->"C:\WINDOWS\$NtUninstallKB891593$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB899337)-->"C:\WINDOWS\$NtUninstallKB899337$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB899510)-->"C:\WINDOWS\$NtUninstallKB899510$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB902841)-->"C:\WINDOWS\$NtUninstallKB902841$\spuninst\spuninst.exe"
Correctif Windows XP - KB895961-->"C:\WINDOWS\$NtUninstallKB895961$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Mise à jour de sécurité pour Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB912945)-->"C:\WINDOWS\$NtUninstallKB912945$\spuninst\spuninst.exe"
Motorola SM56 Data Fax Modem-->rundll32.exe sm56co.dll,SM56UnInstaller
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\setup.exe" -l0x40c REMOVE
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x40c -removeonly
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
======System event log======
Computer Name: TIRBOUCHON
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'MSHOME'.
Record Number: 5
Source Name: Workstation
Time Written: 20090919142823.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers TIRBOUCHON.
Record Number: 4
Source Name: EventLog
Time Written: 20090919142531.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 18
Message: Windows ne peut pas enregistrer les clés de liaison Bluetooth sur le transmetteur local car il ne peut pas déterminer si la sécurité appropriée est activée pour le périphérique.
Record Number: 3
Source Name: BTHUSB
Time Written: 20090919162130.000000+120
Event Type: Avertissement
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 2
Source Name: EventLog
Time Written: 20090919161924.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.
Record Number: 1
Source Name: EventLog
Time Written: 20090919161924.000000+120
Event Type: Informations
User:
=====Application event log=====
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 5
Source Name: LoadPerf
Time Written: 20090919143202.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 4
Source Name: LoadPerf
Time Written: 20090919143200.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 3
Source Name: LoadPerf
Time Written: 20090919142537.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 2
Source Name: LoadPerf
Time Written: 20090919142533.000000+120
Event Type: Informations
User:
Computer Name: TIRBOUCHON
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.
Record Number: 1
Source Name: LoadPerf
Time Written: 20090919142532.000000+120
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
* Telecharge UsbFix (de C_XX & Chiquitine29) sur ton bureau
* tutoriel recherche
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
* tutoriel recherche
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
############################## | UsbFix V6.034 |
User : tirbou (Administrateurs) # TIRBOUCHON
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:29:29 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Core(TM)2 CPU T5200 @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 111,79 Go (105,48 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 7,46 Go (4,4 Go free) [ETIENNE] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\winbjlncc.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\ghcm.exe
E:\rivk.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
E:\autorun.inf -> fichier appelé : "E:\rivk.exe" ( Présent ! )
E:\autorun.inf
E:\jfyo.pif
################## | Registre # Clés Run infectieuses |
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{2b3ec14e-a529-11de-8134-001060d01dbc}
Shell\AUtOpLay\commAND =E:\rivk.exe
Shell\AutoRun\command =E:\rivk.exe
Shell\eXploRE\CoMmaND =E:\rivk.exe
Shell\opEn\commanD =E:\rivk.exe
################## | ! Fin du rapport # UsbFix V6.034 ! |
User : tirbou (Administrateurs) # TIRBOUCHON
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:29:29 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Core(TM)2 CPU T5200 @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 111,79 Go (105,48 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 7,46 Go (4,4 Go free) [ETIENNE] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\winbjlncc.exe
C:\DOCUME~1\tirbou\LOCALS~1\Temp\ghcm.exe
E:\rivk.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
E:\autorun.inf -> fichier appelé : "E:\rivk.exe" ( Présent ! )
E:\autorun.inf
E:\jfyo.pif
################## | Registre # Clés Run infectieuses |
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{2b3ec14e-a529-11de-8134-001060d01dbc}
Shell\AUtOpLay\commAND =E:\rivk.exe
Shell\AutoRun\command =E:\rivk.exe
Shell\eXploRE\CoMmaND =E:\rivk.exe
Shell\opEn\commanD =E:\rivk.exe
################## | ! Fin du rapport # UsbFix V6.034 ! |
* tutoriel nettoyage
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau
* choisi l'option 2 ( Suppression )
* Ton bureau disparaîtra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
* ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
* :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse :>>>ici<<<
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau
* choisi l'option 2 ( Suppression )
* Ton bureau disparaîtra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
* ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
* :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse :>>>ici<<<
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!
############################## | UsbFix V6.034 |
User : tirbou (Administrateurs) # TIRBOUCHON
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:38:31 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Core(TM)2 CPU T5200 @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 111,79 Go (105,46 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 7,46 Go (4,4 Go free) [ETIENNE] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRec.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
################## | Fichiers # Dossiers infectieux |
E:\autorun.inf -> fichier appelé : "E:\rivk.exe" ( Présent ! )
Supprimé ! E:\rivk.exe
Supprimé ! E:\autorun.inf
Supprimé ! E:\jfyo.pif
################## | Registre # Clés Run infectieuses |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Registre # Mountpoints2 |
################## | Listing des fichiers présent |
[19/09/2009 14:35|--a------|0] C:\AUTOEXEC.BAT
[19/09/2009 14:28|--a------|209] C:\Boot.bak
[19/09/2009 17:55|-rahs----|279] C:\boot.ini
[10/08/2004 21:00|-rahs----|4952] C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] C:\cmldr
[19/09/2009 18:02|--a------|7091] C:\ComboFix.txt
[19/09/2009 14:35|--a------|0] C:\CONFIG.SYS
[19/09/2009 17:36|--a------|2667] C:\FindyKill.txt
[19/09/2009 14:58|--a------|1650] C:\FSC-DeskUpdate.txt
[19/09/2009 14:35|-rahs----|0] C:\IO.SYS
[19/09/2009 14:35|-rahs----|0] C:\MSDOS.SYS
[10/08/2004 21:00|-rahs----|47564] C:\NTDETECT.COM
[10/08/2004 21:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[19/09/2009 14:57|--a------|440] C:\RHDSetup.log
[19/09/2009 18:39|--a------|2666] C:\UsbFix.txt
[11/08/2009 14:36|-r-hs----|171519] E:\qqlu.exe
[11/08/2009 16:03|-r-hs----|171519] E:\xbauvv.cmd
[16/09/2009 13:24|-rahs----|144384] E:\qbyrnb.exe
[18/09/2009 20:05|--a------|621] E:\adresse mail classe gemd.txt
[19/09/2009 16:29|--a------|250496] E:\FxBeagle.exe
[19/09/2009 16:35|--a------|269] E:\FxBeagle.log
[19/09/2009 16:38|--a------|872706] E:\Comment supprimer le virus Beagle-Bagle - La solution.mht
[19/09/2009 16:37|--a------|1284544] E:\FindyKill.exe
[19/09/2009 16:56|-r-hs----|173055] E:\elto.exe
[19/09/2009 17:39|--a------|2667] E:\FindyKill.txt
[19/09/2009 18:03|--a------|7091] E:\log.txt
[19/09/2009 18:21|--a------|859733] E:\RSIT.exe
[19/09/2009 18:22|--a------|38350] E:\logrsit.txt
[19/09/2009 18:22|--a------|6526] E:\info.txt
[19/09/2009 18:29|--a------|1301670] E:\UsbFix.exe
[19/09/2009 18:30|--a------|2590] E:\UsbFix.txt
################## | Vaccination |
# C:\autorun.inf -> Folder created by UsbFix.
# E:\autorun.inf -> Folder created by UsbFix.
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\tirbou\Bureau\UsbFix_Upload_Me_TIRBOUCHON.zip : https://www.androidworld.fr/
Merci pour votre contribution .
User : tirbou (Administrateurs) # TIRBOUCHON
Update on 17/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:38:31 | 19/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Core(TM)2 CPU T5200 @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 111,79 Go (105,46 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 7,46 Go (4,4 Go free) [ETIENNE] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRec.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
################## | Fichiers # Dossiers infectieux |
E:\autorun.inf -> fichier appelé : "E:\rivk.exe" ( Présent ! )
Supprimé ! E:\rivk.exe
Supprimé ! E:\autorun.inf
Supprimé ! E:\jfyo.pif
################## | Registre # Clés Run infectieuses |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Registre # Mountpoints2 |
################## | Listing des fichiers présent |
[19/09/2009 14:35|--a------|0] C:\AUTOEXEC.BAT
[19/09/2009 14:28|--a------|209] C:\Boot.bak
[19/09/2009 17:55|-rahs----|279] C:\boot.ini
[10/08/2004 21:00|-rahs----|4952] C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] C:\cmldr
[19/09/2009 18:02|--a------|7091] C:\ComboFix.txt
[19/09/2009 14:35|--a------|0] C:\CONFIG.SYS
[19/09/2009 17:36|--a------|2667] C:\FindyKill.txt
[19/09/2009 14:58|--a------|1650] C:\FSC-DeskUpdate.txt
[19/09/2009 14:35|-rahs----|0] C:\IO.SYS
[19/09/2009 14:35|-rahs----|0] C:\MSDOS.SYS
[10/08/2004 21:00|-rahs----|47564] C:\NTDETECT.COM
[10/08/2004 21:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[19/09/2009 14:57|--a------|440] C:\RHDSetup.log
[19/09/2009 18:39|--a------|2666] C:\UsbFix.txt
[11/08/2009 14:36|-r-hs----|171519] E:\qqlu.exe
[11/08/2009 16:03|-r-hs----|171519] E:\xbauvv.cmd
[16/09/2009 13:24|-rahs----|144384] E:\qbyrnb.exe
[18/09/2009 20:05|--a------|621] E:\adresse mail classe gemd.txt
[19/09/2009 16:29|--a------|250496] E:\FxBeagle.exe
[19/09/2009 16:35|--a------|269] E:\FxBeagle.log
[19/09/2009 16:38|--a------|872706] E:\Comment supprimer le virus Beagle-Bagle - La solution.mht
[19/09/2009 16:37|--a------|1284544] E:\FindyKill.exe
[19/09/2009 16:56|-r-hs----|173055] E:\elto.exe
[19/09/2009 17:39|--a------|2667] E:\FindyKill.txt
[19/09/2009 18:03|--a------|7091] E:\log.txt
[19/09/2009 18:21|--a------|859733] E:\RSIT.exe
[19/09/2009 18:22|--a------|38350] E:\logrsit.txt
[19/09/2009 18:22|--a------|6526] E:\info.txt
[19/09/2009 18:29|--a------|1301670] E:\UsbFix.exe
[19/09/2009 18:30|--a------|2590] E:\UsbFix.txt
################## | Vaccination |
# C:\autorun.inf -> Folder created by UsbFix.
# E:\autorun.inf -> Folder created by UsbFix.
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\tirbou\Bureau\UsbFix_Upload_Me_TIRBOUCHON.zip : https://www.androidworld.fr/
Merci pour votre contribution .
as tu uploadé le fichier comme demandé ?
Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
Télécharge Malwarebytes’ Anti-Malware
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)
- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Mets le a jour /!\
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet et Rechercher
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Cliques sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Colle le rapport ici, il se trouve dans l’onglet rapport/log
Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !
Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
Télécharge Malwarebytes’ Anti-Malware
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)
- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Mets le a jour /!\
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet et Rechercher
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Cliques sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Colle le rapport ici, il se trouve dans l’onglet rapport/log
Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !
voici le rapport, il y avait 6 infections, je ne sait pas si ca venait de la.
J'ai bien uploader le dernier rapport de ubfix
merci pour l'aide je doit y aller, je reviendrai voir demain si j'ai une connexion correcte
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2824
Windows 5.1.2600 Service Pack 2
19/09/2009 19:02:36
mbam-log-2009-09-19 (19-02-36).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 101746
Temps écoulé: 11 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001295.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001296.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001342.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001449.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001492.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001861.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
J'ai bien uploader le dernier rapport de ubfix
merci pour l'aide je doit y aller, je reviendrai voir demain si j'ai une connexion correcte
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2824
Windows 5.1.2600 Service Pack 2
19/09/2009 19:02:36
mbam-log-2009-09-19 (19-02-36).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 101746
Temps écoulé: 11 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001295.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001296.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001342.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001449.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001492.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{703194ED-6DDA-4AFD-9CDC-A98BBB963CEC}\RP15\A0001861.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
# User : tirbou (Administrateurs) # TIRBOUCHON
# Update on 11/09/2009 by Chiquitine29
# Start at: 17:36:30 | 19/09/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Core(TM)2 CPU T5200 @ 1.60GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# C:\ # Disque fixe local # 111,79 Go (105,94 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 7,46 Go (4,41 Go free) [ETIENNE] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
Présent ! E:\autorun.inf
################## | C:\WINDOWS |
################## | C:\WINDOWS\system32 |
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\tirbou\Application Data |
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\SYSTEM\...\SafeBoot\Minimal | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.011 ! |