Post rapport FindyKill
franckmsa
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je subis une attaque du virus BAGLE, ci après le rapport FindyKill réalisé ce jour comme indiqué dans votre rubrique "Comment supprimer le virus Beagle/Bagle ?"
Par avance merci pour votre analyse et votre réponse.
Cordialement
----------------------------
############################## | FindyKill V5.020 |
# User : Franck (Administrateurs) # FV
# Update on 26/11/2009 by Chiquitine29
# Start at: 08:07:54 | 01/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,75 Go (426,34 Go free) # NTFS
# D:\ # Disque fixe local # 76,33 Go (19,49 Go free) [DD 80GO] # NTFS
# E:\ # Disque CD-ROM # 2,73 Go (0 Mo free) [Sims2] # UDF
# F:\ # Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\wintems.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
############################## | Processus infectieux stoppés |
"C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe" (2632)
"C:\WINDOWS\wintems.exe" (3620)
################## | C: |
Présent ! D:\autorun.inf
Présent ! E:\autorun.inf
################## | C:\WINDOWS |
Présent ! C:\WINDOWS\ban_list.txt
Présent ! C:\WINDOWS\mdelk.exe
Présent ! C:\WINDOWS\wintems.exe
Présent ! C:\WINDOWS\Prefetch\15117281.EXE-26526C66.pf
Présent ! C:\WINDOWS\Prefetch\15123453.EXE-3B299BCC.pf
Présent ! C:\WINDOWS\Prefetch\15128296.EXE-338BD127.pf
Présent ! C:\WINDOWS\Prefetch\15130906.EXE-0A4C6205.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-2FF2DB52.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-07594376.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-300B635E.pf
################## | C:\WINDOWS\system32 |
Présent ! C:\WINDOWS\system32\srosa2.sys
Présent ! C:\WINDOWS\system32\wfsintwq.sys
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Franck\Application Data |
Présent ! C:\Documents and Settings\Franck\Application Data\drivers
Présent ! C:\Documents and Settings\Franck\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\Franck\Application Data\m
Présent ! C:\Documents and Settings\Franck\Application Data\m\data.oct
Présent ! C:\Documents and Settings\Franck\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\Franck\Application Data\m\list.oct
Présent ! C:\Documents and Settings\Franck\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\Franck\Application Data\m\shared
################## | Références de comparaison Bagle MD5 : |
File : C:\WINDOWS\system32\srosa2.sys
-> Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
File : C:\WINDOWS\system32\wfsintwq.sys
-> Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
File : C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe
-> Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
################## | Autres detections ... |
Bagle ! "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP287\A0040735.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP289\A0042288.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042863.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042864.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042882.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042918.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042919.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP292\A0043028.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP292\A0043029.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP292\A0043042.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0043606.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0043607.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0043616.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0044086.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0044087.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045086.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045087.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045156.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045157.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
################## | Temporary Internet Files |
Présent ! C:\Documents and Settings\Franck\Local Settings\Temporary Internet Files\Content.IE5\F1CZV90B\mxd[1].jpg
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\WS35]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\DateTime4]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"D:\franck\jeux\Keygen Pour Tous Les Sims Simcity 4\The.Sims.+.All.Expansions.(8)_KEYGEN-FFF\The_Sims_All_Keygens.exe"
20/05/2003 23:51 |Size 74784 |Crc32 5e19292f |Md5 f0245c68b7333f9d862c5ac42fefa74a
"D:\Program Files\registry mechanic\crack\regmech.exe"
06/07/2005 00:54 |Size 7639040 |Crc32 ec299b5c |Md5 7dd9a1bd83116b66969143fffc52c9d3
################## | ! Fin du rapport # FindyKill V5.020 ! |
Je subis une attaque du virus BAGLE, ci après le rapport FindyKill réalisé ce jour comme indiqué dans votre rubrique "Comment supprimer le virus Beagle/Bagle ?"
Par avance merci pour votre analyse et votre réponse.
Cordialement
----------------------------
############################## | FindyKill V5.020 |
# User : Franck (Administrateurs) # FV
# Update on 26/11/2009 by Chiquitine29
# Start at: 08:07:54 | 01/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,75 Go (426,34 Go free) # NTFS
# D:\ # Disque fixe local # 76,33 Go (19,49 Go free) [DD 80GO] # NTFS
# E:\ # Disque CD-ROM # 2,73 Go (0 Mo free) [Sims2] # UDF
# F:\ # Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\wintems.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
############################## | Processus infectieux stoppés |
"C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe" (2632)
"C:\WINDOWS\wintems.exe" (3620)
################## | C: |
Présent ! D:\autorun.inf
Présent ! E:\autorun.inf
################## | C:\WINDOWS |
Présent ! C:\WINDOWS\ban_list.txt
Présent ! C:\WINDOWS\mdelk.exe
Présent ! C:\WINDOWS\wintems.exe
Présent ! C:\WINDOWS\Prefetch\15117281.EXE-26526C66.pf
Présent ! C:\WINDOWS\Prefetch\15123453.EXE-3B299BCC.pf
Présent ! C:\WINDOWS\Prefetch\15128296.EXE-338BD127.pf
Présent ! C:\WINDOWS\Prefetch\15130906.EXE-0A4C6205.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-2FF2DB52.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-07594376.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-300B635E.pf
################## | C:\WINDOWS\system32 |
Présent ! C:\WINDOWS\system32\srosa2.sys
Présent ! C:\WINDOWS\system32\wfsintwq.sys
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Franck\Application Data |
Présent ! C:\Documents and Settings\Franck\Application Data\drivers
Présent ! C:\Documents and Settings\Franck\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\Franck\Application Data\m
Présent ! C:\Documents and Settings\Franck\Application Data\m\data.oct
Présent ! C:\Documents and Settings\Franck\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\Franck\Application Data\m\list.oct
Présent ! C:\Documents and Settings\Franck\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\Franck\Application Data\m\shared
################## | Références de comparaison Bagle MD5 : |
File : C:\WINDOWS\system32\srosa2.sys
-> Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
File : C:\WINDOWS\system32\wfsintwq.sys
-> Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
File : C:\Documents and Settings\Franck\Application Data\drivers\winupgro.exe
-> Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
################## | Autres detections ... |
Bagle ! "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP287\A0040735.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP289\A0042288.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042863.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042864.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042882.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042918.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP291\A0042919.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP292\A0043028.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP292\A0043029.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP292\A0043042.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0043606.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0043607.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0043616.exe"
-> Size : 794624 | Crc32 : 9f484618 | Md5 : e61c007389dfc9d5b9960c975335b88d
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0044086.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0044087.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045086.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045087.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045156.sys"
-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b
Bagle ! "C:\System Volume Information\_restore{F9AA7E41-A372-43CB-8D45-69B0830CFFA9}\RP293\A0045157.sys"
-> Size : 105300 | Crc32 : 9a7dbdf9 | Md5 : 12d5e77748ab936ef8fab695738e12de
################## | Temporary Internet Files |
Présent ! C:\Documents and Settings\Franck\Local Settings\Temporary Internet Files\Content.IE5\F1CZV90B\mxd[1].jpg
################## | Registre / Clés infectieuses |
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\WS35]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\bisoft]
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\DateTime4]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1482476501-515967899-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"D:\franck\jeux\Keygen Pour Tous Les Sims Simcity 4\The.Sims.+.All.Expansions.(8)_KEYGEN-FFF\The_Sims_All_Keygens.exe"
20/05/2003 23:51 |Size 74784 |Crc32 5e19292f |Md5 f0245c68b7333f9d862c5ac42fefa74a
"D:\Program Files\registry mechanic\crack\regmech.exe"
06/07/2005 00:54 |Size 7639040 |Crc32 ec299b5c |Md5 7dd9a1bd83116b66969143fffc52c9d3
################## | ! Fin du rapport # FindyKill V5.020 ! |
A voir également:
- Post rapport FindyKill
- Plan rapport de stage - Guide
- Brouillon post instagram - Guide
- Code post - Télécharger - Vie quotidienne
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant - Forum Bureautique
- Post it windows - Télécharger - Agendas & Calendriers
2 réponses
Bonjour franckmsa
! Déconnecte toi et ferme toutes application en cours (navigateur compris) .
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
• Le pc va redémarrer automatiquement ...
▶ le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
--> Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
2)1- Télécharge et installe le logiciel HijackThis :
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
(Ne lance pas ce prg pour l'instant et fais la suite ... )
2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer.
Clic droit sous VISTA (exécuter en tant que…)
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit
@+
! Déconnecte toi et ferme toutes application en cours (navigateur compris) .
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
• Le pc va redémarrer automatiquement ...
▶ le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
--> Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
2)1- Télécharge et installe le logiciel HijackThis :
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
(Ne lance pas ce prg pour l'instant et fais la suite ... )
2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer.
Clic droit sous VISTA (exécuter en tant que…)
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit
@+
