BAGLE toujours là ...
Julien
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
j'ai recemmment eu une infection bagle, je pensais m'en etre débarasser, bien que je n'étais pas allé tout au bout de la procédure de désinfection faute de temps (oui je sais, c'est pas bien ... )
Bref, toujours est-il que cet saloperie est toujours là vu les alertes que me fait de temps en temps avg à propos de trucs dans System Volume information, que je met sans arret en quarantaine d'ailleurs.
j'ai pris les devant en faisant un rapport RSIT que vous pourrez trouver à l'adresse indiquée.
merci d'avance.
http://www.cijoint.fr/cjlink.php?file=cj200910/cijR2BB0yn.txt
j'ai recemmment eu une infection bagle, je pensais m'en etre débarasser, bien que je n'étais pas allé tout au bout de la procédure de désinfection faute de temps (oui je sais, c'est pas bien ... )
Bref, toujours est-il que cet saloperie est toujours là vu les alertes que me fait de temps en temps avg à propos de trucs dans System Volume information, que je met sans arret en quarantaine d'ailleurs.
j'ai pris les devant en faisant un rapport RSIT que vous pourrez trouver à l'adresse indiquée.
merci d'avance.
http://www.cijoint.fr/cjlink.php?file=cj200910/cijR2BB0yn.txt
10 réponses
slt
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de Old_Timer) sur ton Bureau.
double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)
:processes
explorer.exe
:files
C:\WINDOWS\system32\jheveoco.dll
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BMff72f414"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_______________________
vire ta version findykill puis
Telecharge FindyKill sur ton bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
https://www.androidworld.fr/
--> Lance l installation avec les parametres par default
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 1 (Recherche)
--> Post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
manuel ici :
http://pagesperso-orange.fr/FindyKill.Ad.Remover/fyk_recherche.html
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de Old_Timer) sur ton Bureau.
double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)
:processes
explorer.exe
:files
C:\WINDOWS\system32\jheveoco.dll
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BMff72f414"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_______________________
vire ta version findykill puis
Telecharge FindyKill sur ton bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
https://www.androidworld.fr/
--> Lance l installation avec les parametres par default
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 1 (Recherche)
--> Post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
manuel ici :
http://pagesperso-orange.fr/FindyKill.Ad.Remover/fyk_recherche.html
Je voulais aussi poster un rapport FindyKill mais le scan était interminable...
Il vient finalement de se terminer:
############################## | FindyKill V5.016 |
# User : Propriétaire (Administrateurs) # ALJURAMA
# Update on 26/10/2009 by Chiquitine29
# Start at: 21:09:33 | 2009-10-30
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 108.01 Go (5.87 Go free) [DISQUE DUR] # NTFS
# D:\ # Disque fixe local # 3.76 Go (795.15 Mo free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\Program Files\CCleaner\CCleaner.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\WINDOWS |
################## | C:\WINDOWS\system32 |
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Propri‚taire\Application Data |
################## | Autres detections ... |
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi12.zip"
-> Contain 87875.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi20.zip"
-> Contain 81640.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi28.zip"
-> Contain 69234.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi34.zip"
-> Contain 59125.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi37.zip"
-> Contain 52937.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi82.zip"
-> Contain 177359.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\Keygen.exe"
2007-01-27 01:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\winzip90.exe"
2004-02-24 22:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7
"C:\Program Files\Fax Machine\Fax.Machine.v4.17.WinALL.Cracked-DVT\Crack\patch.exe"
2004-11-04 15:47 |Size 35840 |Crc32 798e45c5 |Md5 dafaffeee45d9b462a76e09a044fef8a
"C:\Program Files\intocartoonpro\Crack.exe"
2008-04-17 17:35 |Size 145920 |Crc32 1c50c095 |Md5 ed0f6302d2546ecaaf8d4bdee3bc7327
################## | ! Fin du rapport # FindyKill V5.016 ! |
Il vient finalement de se terminer:
############################## | FindyKill V5.016 |
# User : Propriétaire (Administrateurs) # ALJURAMA
# Update on 26/10/2009 by Chiquitine29
# Start at: 21:09:33 | 2009-10-30
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 108.01 Go (5.87 Go free) [DISQUE DUR] # NTFS
# D:\ # Disque fixe local # 3.76 Go (795.15 Mo free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\Program Files\CCleaner\CCleaner.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\WINDOWS |
################## | C:\WINDOWS\system32 |
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Propri‚taire\Application Data |
################## | Autres detections ... |
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi12.zip"
-> Contain 87875.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi20.zip"
-> Contain 81640.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi28.zip"
-> Contain 69234.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi34.zip"
-> Contain 59125.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi37.zip"
-> Contain 52937.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
Bagle ! "C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBaglehi82.zip"
-> Contain 177359.exe | Size : 657412 | with Bagle Crc32 : 2144df1c
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\Keygen.exe"
2007-01-27 01:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\winzip90.exe"
2004-02-24 22:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7
"C:\Program Files\Fax Machine\Fax.Machine.v4.17.WinALL.Cracked-DVT\Crack\patch.exe"
2004-11-04 15:47 |Size 35840 |Crc32 798e45c5 |Md5 dafaffeee45d9b462a76e09a044fef8a
"C:\Program Files\intocartoonpro\Crack.exe"
2008-04-17 17:35 |Size 145920 |Crc32 1c50c095 |Md5 ed0f6302d2546ecaaf8d4bdee3bc7327
################## | ! Fin du rapport # FindyKill V5.016 ! |
slt
vire tes cracks
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\Keygen.exe"
2007-01-27 01:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\winzip90.exe"
2004-02-24 22:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7
"C:\Program Files\Fax Machine\Fax.Machine.v4.17.WinALL.Cracked-DVT\Crack\patch.exe"
2004-11-04 15:47 |Size 35840 |Crc32 798e45c5 |Md5 dafaffeee45d9b462a76e09a044fef8a
"C:\Program Files\intocartoonpro\Crack.exe"
2008-04-17 17:35 |Size 145920 |Crc32 1c50c095 |Md5 ed0f6302d2546ecaaf8d4bdee3bc7327
_________________________
vire tout ce qui est en quarantaine (sauvegarde ) dans SPYBOT
__________________________
fais l'option 2 de findykill et colle le rapport
__________________________
colle un rapport OTM comme indiqué avant
vire tes cracks
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\Keygen.exe"
2007-01-27 01:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\winzip90.exe"
2004-02-24 22:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7
"C:\Program Files\Fax Machine\Fax.Machine.v4.17.WinALL.Cracked-DVT\Crack\patch.exe"
2004-11-04 15:47 |Size 35840 |Crc32 798e45c5 |Md5 dafaffeee45d9b462a76e09a044fef8a
"C:\Program Files\intocartoonpro\Crack.exe"
2008-04-17 17:35 |Size 145920 |Crc32 1c50c095 |Md5 ed0f6302d2546ecaaf8d4bdee3bc7327
_________________________
vire tout ce qui est en quarantaine (sauvegarde ) dans SPYBOT
__________________________
fais l'option 2 de findykill et colle le rapport
__________________________
colle un rapport OTM comme indiqué avant
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et moi qui croyais avoir viré spybot... ;-p
Voila les rapports otm et Findykill
http://www.cijoint.fr/cjlink.php?file=cj200910/cijBIvd6QH.zip
Ps: le virus provenait d'un pseudo crack identifié et supprimé.
Voila les rapports otm et Findykill
http://www.cijoint.fr/cjlink.php?file=cj200910/cijBIvd6QH.zip
Ps: le virus provenait d'un pseudo crack identifié et supprimé.
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\WINDOWS\system32\jheveoco.dll not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 115168 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes
User: Propriétaire
->Temp folder emptied: 41839 bytes
->Temporary Internet Files folder emptied: 4843309 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 12024772 bytes
->Google Chrome cache emptied: 5862854 bytes
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 1434 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 21.97 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10302009_214525
Files moved on Reboot...
Registry entries deleted on Reboot...
__________________________
############################## | FindyKill V5.016 |
# User : Propriétaire (Administrateurs) # ALJURAMA
# Update on 26/10/2009 by Chiquitine29
# Start at: 21:57:21 | 2009-10-30
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 108.01 Go (5.89 Go free) [DISQUE DUR] # NTFS
# D:\ # Disque fixe local # 3.76 Go (795.14 Mo free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\WINDOWS |
################## | C:\WINDOWS\system32 |
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Propri‚taire\Application Data |
################## | Autres suppressions ... |
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"
Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |
Corrompu : C:\Program Files\Okawix\uninstaller.exe
[Offset = 000000D4 - Valeur = 0x0001]
################## | Cracks / Keygens / Serials |
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\Keygen.exe"
2007-01-27 01:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\winzip90.exe"
2004-02-24 22:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7
"C:\Program Files\Fax Machine\Fax.Machine.v4.17.WinALL.Cracked-DVT\Crack\patch.exe"
2004-11-04 15:47 |Size 35840 |Crc32 798e45c5 |Md5 dafaffeee45d9b462a76e09a044fef8a
"C:\Program Files\intocartoonpro\Crack.exe"
2008-04-17 17:35 |Size 145920 |Crc32 1c50c095 |Md5 ed0f6302d2546ecaaf8d4bdee3bc7327
################## | ! Fin du rapport # FindyKill V5.016 ! |
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\WINDOWS\system32\jheveoco.dll not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 115168 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes
User: Propriétaire
->Temp folder emptied: 41839 bytes
->Temporary Internet Files folder emptied: 4843309 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 12024772 bytes
->Google Chrome cache emptied: 5862854 bytes
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 1434 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 21.97 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10302009_214525
Files moved on Reboot...
Registry entries deleted on Reboot...
__________________________
############################## | FindyKill V5.016 |
# User : Propriétaire (Administrateurs) # ALJURAMA
# Update on 26/10/2009 by Chiquitine29
# Start at: 21:57:21 | 2009-10-30
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 108.01 Go (5.89 Go free) [DISQUE DUR] # NTFS
# D:\ # Disque fixe local # 3.76 Go (795.14 Mo free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | C: |
################## | C:\WINDOWS |
################## | C:\WINDOWS\system32 |
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Propri‚taire\Application Data |
################## | Autres suppressions ... |
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"
Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |
Corrompu : C:\Program Files\Okawix\uninstaller.exe
[Offset = 000000D4 - Valeur = 0x0001]
################## | Cracks / Keygens / Serials |
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\Guitar Pro v5.2 (Incl Rse)\Keygen.exe"
2007-01-27 01:51 |Size 94208 |Crc32 c3ec7e65 |Md5 8d9f60f35d7ef075a86e9ba076257402
"C:\Documents and Settings\Propri‚taire\Mes documents\INSTALLATIONS\WinZIP.v9.0.Final.Incl.Keygen-rp2k-ShareReactor.com\winzip90.exe"
2004-02-24 22:29 |Size 2372760 |Crc32 ef173bad |Md5 be61b64a723bea9a96c09ed6d764fae7
"C:\Program Files\Fax Machine\Fax.Machine.v4.17.WinALL.Cracked-DVT\Crack\patch.exe"
2004-11-04 15:47 |Size 35840 |Crc32 798e45c5 |Md5 dafaffeee45d9b462a76e09a044fef8a
"C:\Program Files\intocartoonpro\Crack.exe"
2008-04-17 17:35 |Size 145920 |Crc32 1c50c095 |Md5 ed0f6302d2546ecaaf8d4bdee3bc7327
################## | ! Fin du rapport # FindyKill V5.016 ! |
Désactive ta restauration systeme puis redemarre ton ordi puis réactive là comme ceci:
https://www.informatruc.com
------------------
lance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O4 - HKLM\..\Run: [BMff72f414] Rundll32.exe "C:\WINDOWS\system32\jheveoco.dll",s
______________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
https://www.informatruc.com
------------------
lance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O4 - HKLM\..\Run: [BMff72f414] Rundll32.exe "C:\WINDOWS\system32\jheveoco.dll",s
______________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
ok ok, je poste mes rapports, l'autre jour on me disait de faire ca...
sinon j'ai un message rundll au demarrage me disant que jheveoco est introuvable.
j'dis ca au cas ou ca change kelkechose, mais je me lance dans la procedure au niveau de la restauration systeme.
sinon j'ai un message rundll au demarrage me disant que jheveoco est introuvable.
j'dis ca au cas ou ca change kelkechose, mais je me lance dans la procedure au niveau de la restauration systeme.
