fenetre ouverte avec un lien (virus)

Question

Bonjour,
une fenêtre vient de s'ouvrir sur msn et dans la  fenêtre  apparaissait "clique sur ce lien " !!!!!  et oui vous pouvez bouger votre tête en signe de ""surtout pas "" !!!!!j ai fait un scanner  il n apparait rien de suspect mais quand j ai msn ouvert j ai des fenêtres qui essayent de s ouvrir !!!!! et mon ordi rame ....
j espère  qu'une âme charitable pourra m aider  enfin si j ai été claire ....
merci par avance

gen-hackman · Answer

salut 

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

lallelle · Answer

le lien ne marche pas il me dis unsupportable version je suis sous windows trust 4.0 xp professionnel version 2003 merci d avance

Utilisateur anonyme · Answer

lu dommage pour toi, commence par avoir une version légal !

CCM n'aide pas les pirates ! tu as une version illégale qui a surement déjà des virus à la base.

lallelle · Answer

ben merci mais j étais pas au courant que ma version était illégale.....voila quand on fait confiance a "moi je gère t'inquiètes"....

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau 

&#9654 Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

lallelle · Answer

merci gen-hackman mais je ne peux te dire si ca marche car je ne sais pas faire ca suis vraiment nulle !!!!!  donc a moi de chercher qq1 qui suivra tes instructions merci encore

gen-hackman · Answer

t occupes pas des peripheriques 

lance-le , option 1 , et laisse faire , puis poste le rapport
..

lallelle · Answer

gen-hackman tu es un génie wouahhhh ca marche .....mais que veut dire "poste le rapport" oui je sais plus que nulle dsl merci

lallelle · Answer

voila le résultat
 catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-20 13:48:48
Windows 5.2.3790 Service Pack 2, v.4478 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

gen-hackman · Answer

&#9654; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

lallelle · Answer

si j ai bien compris c est cela qu'il faut poster!!!!!!????
List'em by g3n-h@ckm@n 1.2.5.3

User : Administrateur (Administrateurs) 
Update on 19/02/2010 by g3n-h@ckm@n ::::: 13.15 
Start at: 15:13:04 | 20/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Mobile AMD Sempron(tm) Processor 3600+
Microsoft(R) Windows(R) 2000 Professionnel (5.2.3790 32-bit) # Service Pack 2, v.4478
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 14,65 Go (4,66 Go free) | NTFS
D:\ -> Disque fixe local | 41,17 Go (40,09 Go free) [stockage 1] | NTFS
E:\ -> Disque fixe local | 14,65 Go (14,59 Go free) [new system] | NTFS
F:\ -> Disque fixe local | 41,32 Go (41,26 Go free) [stockage 2] | NTFS
G:\ -> Disque CD-ROM | 4,1 Go (0 Mo free) [Mon disque] | CDFS

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\winmbu.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Administrateur\Local Settings\Temp\43.tmp\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
msnmsgr	REG_SZ         	"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
Skype	REG_SZ         	"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
NvCplDaemon	REG_SZ         	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
nwiz	REG_SZ         	nwiz.exe /install 
NvMediaCenter	REG_SZ         	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
RTHDCPL	REG_SZ         	RTHDCPL.EXE 
Alcmtr	REG_SZ         	ALCMTR.EXE 
AzMixerSel	REG_SZ         	C:\Program Files\Realtek\InstallShield\AzMixerSel.exe 
Apoint	REG_SZ         	C:\Program Files\Apoint2K\Apoint.exe 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
sysconfig32	REG_SZ         	C:\WINDOWS\system32\sysconfig32.exe 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
disablecad	REG_DWORD      	1 (0x1) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
NoInternetOpenWith	REG_DWORD      	1 (0x1) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	95 (0x5f) 
ForceClassicControlPanel	REG_DWORD      	1 (0x1) 
LinkResolveIgnoreLinkInfo	REG_DWORD      	1 (0x1) 
NoDesktopCleanupWizard	REG_DWORD      	1 (0x1) 
NoInstrumentation	REG_DWORD      	0 (0x0) 
NoLowDiskSpaceChecks	REG_DWORD      	1 (0x1) 
NoResolveSearch	REG_DWORD      	1 (0x1) 
NoResolveTrack	REG_DWORD      	1 (0x1) 
NoSMBalloonTip	REG_DWORD      	1 (0x1) 
NoSMConfigurePrograms	REG_DWORD      	1 (0x1) 
NoStartBanner	REG_DWORD      	1 (0x1) 
NoStartMenuMFUprogramsList	REG_DWORD      	0 (0x0) 
NoStrCmpLogical	REG_DWORD      	0 (0x0) 
NoWelcomeScreen	REG_DWORD      	1 (0x1) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
CDRAutoRun	REG_DWORD      	1 (0x1) 
HideRunAsVerb	REG_DWORD      	1 (0x1) 
NoActiveDesktop	REG_DWORD      	1 (0x1) 
NoCDBurning	REG_DWORD      	1 (0x1) 
NoDesktopCleanupWizard	REG_DWORD      	1 (0x1) 
NoDriveTypeAutoRun	REG_DWORD      	95 (0x5f) 
NoInstrumentation	REG_DWORD      	0 (0x0) 
NoNetConnectDisconnect	REG_DWORD      	1 (0x1) 
NoRemoteRecursiveEvents	REG_DWORD      	1 (0x1) 
NoResolveTrack	REG_DWORD      	1 (0x1) 
NoSetActiveDesktop	REG_DWORD      	1 (0x1) 
NoStartMenuMFUprogramsList	REG_DWORD      	0 (0x0) 
HonorAutoRunSetting	REG_DWORD      	1 (0x1) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	REG_DWORD      	1 (0x1) 
 DefaultDomainName	REG_SZ         	WINDOWS-53898CD 
 DefaultUserName	REG_SZ         	Administrateur 
 LegalNoticeCaption	REG_SZ         	 
 LegalNoticeText	REG_SZ         	 
 PowerdownAfterShutdown	REG_SZ         	1 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	Explorer.exe 
 ShutdownWithoutLogon	REG_SZ         	0 
 System	REG_SZ         	 
 Userinit	REG_SZ         	C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\winmbu.exe 
 VmApplet	REG_SZ         	rundll32 shell32,Control_RunDLL "sysdm.cpl" 
 SfcQuota	REG_DWORD      	-1 (0xffffffff) 
 SfcDisable	REG_DWORD      	-99 (0xffffff9d) 
 allocatecdroms	REG_SZ         	0 
 allocatedasd	REG_SZ         	0 
 allocatefloppies	REG_SZ         	0 
 cachedlogonscount	REG_SZ         	10 
 forceunlocklogon	REG_DWORD      	0 (0x0) 
 passwordexpirywarning	REG_DWORD      	14 (0xe) 
 scremoveoption	REG_SZ         	0 
 AllowMultipleTSSessions	REG_DWORD      	1 (0x1) 
 LogonType	REG_DWORD      	1 (0x1) 
 EnableConcurrentSessions	REG_DWORD      	1 (0x1) 
 KeepRasConnections	REG_SZ         	1 
 SlowLinkDetectEnabled	REG_DWORD      	0 (0x0) 
 DisableCAD	REG_DWORD      	1 (0x1) 
 UIHost	REG_EXPAND_SZ  	%SystemRoot%\system32\logonui.exe 
 DebugServerCommand	REG_SZ         	no 
 HibernationPreviouslyEnabled	REG_DWORD      	1 (0x1) 
 WinStationsDisabled	REG_SZ         	0 
 ShowLogonOptions	REG_DWORD      	0 (0x0) 
 AltDefaultUserName	REG_SZ         	Administrateur 
 AltDefaultDomainName	REG_SZ         	WINDOWS-53898CD 

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe	REG_SZ         	C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service
C:\Program Files\Windows Live\Messenger\wlcsdk.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\ma-config.com\maconfservice.exe	REG_SZ         	C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice
C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP4\WNt500x86\RpcSandraSrv.exe	REG_SZ         	C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP4\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service
C:\Program Files\Skype\Phone\Skype.exe	REG_SZ         	C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\PHOTO18022010.JPG.exe	REG_SZ         	C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\PHOTO18022010.JPG.exe:*:Enabled:Userinit

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
C:\Program Files\Windows Live\Messenger\wlcsdk.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{abcdf74f-9a64-4e6e-b8eb-6e5a41de6550}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F196AC50-7C95-42E1-9947-BDAB18BF3C8C}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x4 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Documents and Settings\Administrateur\Local Settings\Temp\43.tmp
## C:\> hashdeep C:\WINDOWS\System32\Drivers\atapi.sys
## 
96768,ff953a8f08ca3f822127654375786bbe,4b9cb9b31b85365f3ba49ab96bd6fd7ec6b4fe6bdd4982b4af800127a8102297,C:\WINDOWS\System32\Drivers\atapi.sys


Sources
======= 
 
C:\WINDOWS\system32\drivers\atapi.sys  

Référence :
==========

Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 
=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\WINDOWS\System32\Desktop_.ini 
Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Present !! : C:\WINDOWS\System32\KEYBOARD.exe 
Present !! : C:\WINDOWS\System32\split.exe 
Present !! : C:\WINDOWS\System32\unrar.exe 
Present !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\RtkBtMnt.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-20 15:29:43
Windows 5.2.3790 Service Pack 2, v.4478 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 

==========
Programs
==========

7-Zip
Adobe
AGEIA Technologies
Alwil Software
Apoint2K
Atheros
Avira
CCleaner
ComPlus Applications
DIFX
eMule
FastStone Capture
Fichiers communs
Foxit Software
InstallShield Installation Information
Internet Explorer
IrfanView
Java
K-Lite Codec Pack
Lavalys
List_Kill'em
ma-config.com
Microsoft
Microsoft Office
Microsoft Visual Studio
Mozilla Firefox
Notepad++
Outlook Express
Paint.NET
PowerArchiver
PowerQuest
Realtek
Samsung
SiSoftware
Skype
Uninstall Information
Unlocker
Webteh
Windows Live
Windows Live SkyDrive
Windows Media Connect 2
Windows Media Player
Windows Trust
WinRAR
WTInstaller

============
Drive C:
============

a.txt
AUTOEXEC.BAT
boot.ini
bootfont.bin
Config.Msi
CONFIG.SYS
Documents and Settings
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
NTDETECT.COM
ntldr
NVIDIA
pagefile.sys
Program Files
RECYCLER
System Volume Information
UsbFix
WINDOWS
 
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials 
 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 15:33:34,57

gen-hackman · Answer

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse

lallelle · Answer

VOILA !!!!!!!
Kill'em by g3n-h@ckm@n 1.2.5.3 
 
User : Administrateur (Administrateurs) 
Update on 19/02/2010 by g3n-h@ckm@n ::::: 13.15 
Start at: 16:44:57 | 20/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Mobile AMD Sempron(tm) Processor 3600+
Microsoft(R) Windows(R) 2000 Professionnel (5.2.3790 32-bit) # Service Pack 2, v.4478
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 14,65 Go (4,65 Go free) | NTFS
D:\ -> Disque fixe local | 41,17 Go (40,09 Go free) [stockage 1] | NTFS
E:\ -> Disque fixe local | 14,65 Go (14,59 Go free) [new system] | NTFS
F:\ -> Disque fixe local | 41,32 Go (41,26 Go free) [stockage 2] | NTFS
G:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\winmbu.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Administrateur\Local Settings\Temp\C.tmp\ERUNT.EXE
C:\Documents and Settings\Administrateur\Local Settings\Temp\C.tmp\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\WINDOWS\System32\Desktop_.ini 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\WINDOWS\System32\KEYBOARD.exe 
Quarantined & Deleted !! : C:\WINDOWS\System32\split.exe 
Quarantined & Deleted !! : C:\WINDOWS\System32\unrar.exe 
Quarantined & Deleted !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\RtkBtMnt.exe 
 
==============
host file OK !
==============

========
Registry
========

Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
========
Services
=========

 Ndisuio : Start = 3   
 Ip6Fw : Start = 3   
 SharedAccess : Start = 2   
 (!) wuauserv : Start = 4  

============
Disk Cleaned
============
 
=================
anti-ver blaster : OK !! 
=================

================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Télécharge FindyKill sur ton bureau : 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

! Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

&#9654 Double-clique (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

lallelle · Answer

j ai tt fais comme  tu m as dis mais là c est le drame il y a écrit "unsupported version"....puis quand mes contacts sont en lignes je ne peux ouvrir leurs fenêtres....je crois que là je suis vraiment dans une cata monumentale...mais merci pour ta gentillesse

gen-hackman · Answer

.???????????????????????? comment ca?

lallelle · Answer

ben j ai cliqué sur le lien ke tu m as envoyé  je l ai téléchargé ensuite je l ai ouvert et là il y a un petit carré  ou il est écrit insupported version je ne peux rien te dire de plus ....dsl !!!!

gen-hackman · Answer

on est dans la merde..........

lallelle · Answer

sourire....oui comme tu dis mais merci d avoir essayé

gen-hackman · Answer

je te lache  pas....

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

! Déconnecte toi et FERME TOUTES TES APPLICATIONS EN COURS ! 

Double-clique sur " RSIT.exe " pour le lancer . 

&#9654 Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

&#9654 Devant l'option "List files/folders created ..." , tu choisis : 2 months 

&#9654 clique ensuite sur " Continue " pour lancer l'analyse ... 


&#9654 laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

lallelle · Answer

alors quand je lance rsit-exe il apparait une fenêtre avec un sens interdit  :AutoIt Error
                                                                                                             line-1
                                                                                                  Error:variable used without being declared 
voila encore qqch qui ne veux  pas marcher .....
dsl

gen-hackman · Answer

ok je t'ai fait 2 petites applications , execute -les et remets les rapports qui s'ouvrent

liens :

http://sd-1.archive-host.com/membres/up/829108531491024/Remove_Key.exe
http://sd-1.archive-host.com/membres/up/829108531491024/Just_This_File.exe

lallelle · Answer

ben dsl mais j ai téléchargé il n y a aucun rapport  qui s affiche !!!!!

gen-hackman · Answer

????????????

tu les as executé ?

lallelle · Answer

ben oui il c est ouvert une  pte fenêtre de couleur  bleue qui reste 3secondes  puis ensuite une page blanche avec ecrit en haut new1-notepad++

gen-hackman · Answer

refais l'option recherche de list_Kill'em stp

lallelle · Answer

ben tjr pareil unsuporded version !!!!!!!

gen-hackman · Answer

non tu t es trompé de programme je pense

lallelle · Answer

j ai refais exactement les mêmes manip que tu m as envoyé apparemment il y a un problème plus complexe tiens regardes le lien qui apparait maintenant quand je suis connectée sur msn ou facebook::::::::::::::::NE PAS CLIQUER SUR CE LIEN..................... regardez cette photo :D http://www.youtube-lady.com/view.php?=PHOTO18022010.JPG?

gen-hackman · Answer

&#9654 Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

&#9654 Télécharge List_All

&#9654 enregistre-le sur ton bureau et pas ailleurs

&#9654 dézippe-le (clic droit / extraire)

&#9654 rentre dans le dossier obtenu

&#9654 Execute-le en double clic (clic droit et "en tant qu'administrateur" sous vista) pour le lancer.

&#9654 choisis la langue d'utilisation

&#9654 choisis l'option en gras ci-dessous :

1 : Elements du panneau de configuration (cpl)
2 : Liste des .dll systeme
3 : Listes des executables (.exe)
4 : Liste des fichiers systeme (Drivers)
5 : Liste du system32
6 : Liste de tout le systeme
7 : Liste des fichiers .tmp
8 : Liste des fichiers racine
9 : Liste des fichiers cachés 
0 : Liste de Program Files


puis "entrée"

&#9654 rends-toi récupérer le rapport où il t'est indiqué ,

&#9654 envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir , 

puis envoie le fichier.

&#9654 un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

lallelle · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijD5ebwcf.zip voila si j ai bien fais tt ce que tu m as dis je l espère car ca été trés dur pour moi.... alléluia !!!!! ben dis donc quelle patience tu as vraiment sympa

gen-hackman · Answer

tu m'as renvoyé mon programmme lol ^^

non c'est le rapport C:\All_Drive_List.txt que je voulais ^^

lallelle · Answer

mon dieu quelle tare je te jure !!!!!!!!!!! je vais essayer encore !!!!!!!

lallelle · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijD5ebwcf.zip peut etre mieux là ?

gen-hackman · Answer

C:\All_Drive_List.txt !!!!!!

lallelle · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijH4zDG9l.txt ......je fais ce que je peux mais je crois qu'il y a qqch qui cloche dans ma manip vraiment dsl ...... laisse tombé je pense t avoir  assez ennuyé je vais l emmener chez le réparateur mais vraiment tu es très gentil tu as fais ton possible mais bon un âne(que je suis)reste un âne .....!!!!!!merci encore

gen-hackman · Answer

supprime tout ce qui a cette extension dans C:\ : ".back"

lallelle · Answer

ben dsl de te décevoir mais j ai rien trouvé !!!!!! enfin quand je sais ce que mon ordi a eu je t en fais part ....en tt cas vraiment merci d' avoir essayé de m'aider ces jours ci tu es vraiment de bonne volonté...

gen-hackman · Answer

ok......faut dire que windows anterieur a XP !! ......

gen-hackman · Answer

ok au plaisir ^^

Fenetre ouverte avec un lien (virus)

40 réponses

Votre réponse

Discussions similaires

Newsletters