W32 sality
Fermé
toinou
-
1 mars 2010 à 22:16
toinou974 Messages postés 13 Date d'inscription mardi 2 mars 2010 Statut Membre Dernière intervention 6 mars 2010 - 6 mars 2010 à 00:49
toinou974 Messages postés 13 Date d'inscription mardi 2 mars 2010 Statut Membre Dernière intervention 6 mars 2010 - 6 mars 2010 à 00:49
10 réponses
Utilisateur anonyme
1 mars 2010 à 22:57
1 mars 2010 à 22:57
bonsoir
*Tu as attrapé le pire des nuisibles du net
*Evite les téléchargements par le P2P (Limewire, Emule, Shearaza), car c'est comme cela que tu as attrapé cette cochonnerie
*Utilise le moins possible ton PC, car plus tu l'utilises, plus tu l'infecte, car le virut et le Sality
attaquent les fichiers exécutables et y injectent un code malveillant dedans
*Sauvegarde tous tes documents (photos...), sauf les fichiers .exe, .rar, .scr, .html, .htm, .dll, .dat, zip, keygens, keygens générator ou cracks dernièrement téléchargés
*Utilise seulement ton PC que pour les manips que je te demande de faire, et ne perd surtout pas de temps, fait tout de suite ce que je te demande
*Dans ce genre d'infection très difficile à traiter,le temps est contre nous
*Désactive ta restauration pour supprimer les points de restauration infectés:
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Coche la case désactiver la restauration Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...
branche ta clé USB
Télécharge Dr Web CureIt sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique drweb-cureit.exe et ensuite clique sur Analyse;
- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
*Tu as attrapé le pire des nuisibles du net
*Evite les téléchargements par le P2P (Limewire, Emule, Shearaza), car c'est comme cela que tu as attrapé cette cochonnerie
*Utilise le moins possible ton PC, car plus tu l'utilises, plus tu l'infecte, car le virut et le Sality
attaquent les fichiers exécutables et y injectent un code malveillant dedans
*Sauvegarde tous tes documents (photos...), sauf les fichiers .exe, .rar, .scr, .html, .htm, .dll, .dat, zip, keygens, keygens générator ou cracks dernièrement téléchargés
*Utilise seulement ton PC que pour les manips que je te demande de faire, et ne perd surtout pas de temps, fait tout de suite ce que je te demande
*Dans ce genre d'infection très difficile à traiter,le temps est contre nous
*Désactive ta restauration pour supprimer les points de restauration infectés:
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Coche la case désactiver la restauration Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...
branche ta clé USB
Télécharge Dr Web CureIt sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique drweb-cureit.exe et ensuite clique sur Analyse;
- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
fabul
Messages postés
37663
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
21 avril 2024
5 169
1 mars 2010 à 22:35
1 mars 2010 à 22:35
Salut,
Purger restauration = Après la désinfection.
Télécharge RegRun Reanimator.
Installe le.
Si impossible,télécharge FixExe.reg.
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Make scan now".
Clic sur la flèche verte "Fix problems".
Si il propose Regguard,répond Non,ou peu importe,c'est a ta discretion.
Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")
Clic sur la flèche verte (en haut a droite) pour l'item suivant
Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt
Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.
Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
Purger restauration = Après la désinfection.
Télécharge RegRun Reanimator.
Installe le.
Si impossible,télécharge FixExe.reg.
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Make scan now".
Clic sur la flèche verte "Fix problems".
Si il propose Regguard,répond Non,ou peu importe,c'est a ta discretion.
Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")
Clic sur la flèche verte (en haut a droite) pour l'item suivant
Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt
Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.
Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
merci fabul,
voici les txt, il y en a 4 :
Item Name: D:\autorun.inf
Author: Unknown
Related File: D:\autorun.inf
Type: Autorun.inf
Item Name: D:\desktop.ini
Author: Unknown
Related File: D:\desktop.ini
Type: Autorun.inf
Item Name: TomTomHOME.exe
Author:
Related File: "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
Type: Registry Run
Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n lsdelete<BR>
Type: Bootexecute
voici les txt, il y en a 4 :
Item Name: D:\autorun.inf
Author: Unknown
Related File: D:\autorun.inf
Type: Autorun.inf
Item Name: D:\desktop.ini
Author: Unknown
Related File: D:\desktop.ini
Type: Autorun.inf
Item Name: TomTomHOME.exe
Author:
Related File: "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
Type: Registry Run
Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n lsdelete<BR>
Type: Bootexecute
fabul
Messages postés
37663
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
21 avril 2024
5 169
1 mars 2010 à 22:56
1 mars 2010 à 22:56
*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).
*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
*Double clique sur le raccourci UsbFix présent sur ton bureau.
*Choisi l'option 1 ( Recherche )
*Laisse travailler l'outil.
*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
*Double clique sur le raccourci UsbFix présent sur ton bureau.
*Choisi l'option 1 ( Recherche )
*Laisse travailler l'outil.
*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
fabul
Messages postés
37663
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
21 avril 2024
5 169
>
toinou
1 mars 2010 à 23:03
1 mars 2010 à 23:03
Suis le conseil de nathandre.
Utilisateur anonyme
1 mars 2010 à 23:49
1 mars 2010 à 23:49
toinou, il serai préférable d'imprimer la procédure et déconnecter ton PC
nathandre,
l'analyse est toujours en cours mais je me suis connecté par un autre ordi,
je voulais juste te demander si tu sais grosso modo combien de temps prend cette analyse
et le cas échéant jusqu'à quelle heure tu es dispo pour m'aider (moi je ne bosse pas demain mais je ne veux pas t'empêcher de dormir)
l'analyse est toujours en cours mais je me suis connecté par un autre ordi,
je voulais juste te demander si tu sais grosso modo combien de temps prend cette analyse
et le cas échéant jusqu'à quelle heure tu es dispo pour m'aider (moi je ne bosse pas demain mais je ne veux pas t'empêcher de dormir)
bonjour,
bon l'analyse a été vraiment longue (environ 5h je crois)
je n'ai pas pu faire la manipulation décrite ensuite (clic sur un fichier puis sur suivant puis sur quarantaine)
(mais je crois que toutes les infections ont automatiquement été quarantainées)
voici la copie du rapport
merci encore,
autorun.inf d: Probablement Win32.HLLW.Autoruner.corrupted Quarantaine.
4873fbff.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4873fbff.qua Win32.Sector.16
4873fbff.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4878d487.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4878d487.qua Win32.Sector.16
4878d487.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
487a2d4f.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\487a2d4f.qua Win32.Sector.16
487a2d4f.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
487dcc6f.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\487dcc6f.qua Win32.Sector.16
487dcc6f.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
487ec417.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\487ec417.qua Win32.Sector.16
487ec417.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4aad0620.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4aad0620.qua Win32.Sector.16
4aad0620.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4ac02ca7.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4ac02ca7.qua Win32.Sector.16
4ac02ca7.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4ace1e77.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4ace1e77.qua Win32.Sector.16
4ace1e77.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4b0a73e1.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b0a73e1.qua Trojan.PWS.Wsgame.4983
4b0a73e1.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4b96aa07.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b96aa07.qua Trojan.MulDrop.35361
4b96aa07.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bac7433.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bac7433.qua Win32.Sector.16
4bac7433.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd5dc.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd5dc.qua Win32.Sector.16
4badd5dc.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd768.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd768.qua Win32.Sector.16
4badd768.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd76e.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd76e.qua Win32.Sector.16
4badd76e.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd76f.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd76f.qua Win32.Sector.16
4badd76f.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bb42fb6.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bb42fb6.qua Win32.Sector.16
4bb42fb6.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bc1e1ad.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bc1e1ad.qua Win32.Sector.16
4bc1e1ad.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bcc3279.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bcc3279.qua Trojan.MulDrop.35361
4bcc3279.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bd42fd7.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bd42fd7.qua Win32.Sector.16
4bd42fd7.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4be0e1ca.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4be0e1ca.qua Win32.Sector.16
4be0e1ca.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4be3e1cc.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4be3e1cc.qua Win32.Sector.16
4be3e1cc.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4be92ff1.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4be92ff1.qua Win32.Sector.16
4be92ff1.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bea2ff4.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bea2ff4.qua Win32.Sector.16
4bea2ff4.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bebe1ce.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bebe1ce.qua Win32.Sector.16
4bebe1ce.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4beee1d5.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4beee1d5.qua Win32.Sector.16
4beee1d5.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bf2e1d8.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bf2e1d8.qua Win32.Sector.16
4bf2e1d8.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bf32feb.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bf32feb.qua Win32.Sector.16
4bf32feb.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bf82feb.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bf82feb.qua Win32.Sector.16
4bf82feb.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bfa2fe7.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bfa2fe7.qua Win32.Sector.16
4bfa2fe7.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
pack.epk/data001\___\NSUtils.dll C:\WINDOWS\pack.epk/data001 Dialer.Egroup.637
data001 C:\WINDOWS L'archive contient des éléments infectés
pack.epk C:\WINDOWS Conteneur comporte des objets infectés Quarantaine.
bon l'analyse a été vraiment longue (environ 5h je crois)
je n'ai pas pu faire la manipulation décrite ensuite (clic sur un fichier puis sur suivant puis sur quarantaine)
(mais je crois que toutes les infections ont automatiquement été quarantainées)
voici la copie du rapport
merci encore,
autorun.inf d: Probablement Win32.HLLW.Autoruner.corrupted Quarantaine.
4873fbff.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4873fbff.qua Win32.Sector.16
4873fbff.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4878d487.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4878d487.qua Win32.Sector.16
4878d487.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
487a2d4f.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\487a2d4f.qua Win32.Sector.16
487a2d4f.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
487dcc6f.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\487dcc6f.qua Win32.Sector.16
487dcc6f.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
487ec417.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\487ec417.qua Win32.Sector.16
487ec417.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4aad0620.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4aad0620.qua Win32.Sector.16
4aad0620.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4ac02ca7.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4ac02ca7.qua Win32.Sector.16
4ac02ca7.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4ace1e77.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4ace1e77.qua Win32.Sector.16
4ace1e77.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4b0a73e1.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b0a73e1.qua Trojan.PWS.Wsgame.4983
4b0a73e1.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4b96aa07.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b96aa07.qua Trojan.MulDrop.35361
4b96aa07.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bac7433.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bac7433.qua Win32.Sector.16
4bac7433.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd5dc.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd5dc.qua Win32.Sector.16
4badd5dc.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd768.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd768.qua Win32.Sector.16
4badd768.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd76e.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd76e.qua Win32.Sector.16
4badd76e.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4badd76f.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4badd76f.qua Win32.Sector.16
4badd76f.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bb42fb6.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bb42fb6.qua Win32.Sector.16
4bb42fb6.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bc1e1ad.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bc1e1ad.qua Win32.Sector.16
4bc1e1ad.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bcc3279.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bcc3279.qua Trojan.MulDrop.35361
4bcc3279.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bd42fd7.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bd42fd7.qua Win32.Sector.16
4bd42fd7.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4be0e1ca.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4be0e1ca.qua Win32.Sector.16
4be0e1ca.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4be3e1cc.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4be3e1cc.qua Win32.Sector.16
4be3e1cc.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4be92ff1.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4be92ff1.qua Win32.Sector.16
4be92ff1.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bea2ff4.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bea2ff4.qua Win32.Sector.16
4bea2ff4.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bebe1ce.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bebe1ce.qua Win32.Sector.16
4bebe1ce.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4beee1d5.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4beee1d5.qua Win32.Sector.16
4beee1d5.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bf2e1d8.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bf2e1d8.qua Win32.Sector.16
4bf2e1d8.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bf32feb.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bf32feb.qua Win32.Sector.16
4bf32feb.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bf82feb.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bf82feb.qua Win32.Sector.16
4bf82feb.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
4bfa2fe7.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bfa2fe7.qua Win32.Sector.16
4bfa2fe7.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.
pack.epk/data001\___\NSUtils.dll C:\WINDOWS\pack.epk/data001 Dialer.Egroup.637
data001 C:\WINDOWS L'archive contient des éléments infectés
pack.epk C:\WINDOWS Conteneur comporte des objets infectés Quarantaine.
bonjour
il était temps d'agir, car Sality commençait à infecter les fichiers exécutables
* Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
* Tu peux imprimer le message en cliquant sur l'imprimante Image en dessous du message.
* Télécharge le scanner portable AVPTool sur ton bureau.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool
* Ensuite Redémarre le PC en mode sans échec
* Choisis ta session habituelle
* Lance l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
* Réponds Oui à la question Do you want to continue installation ?
* Clique sur Next pour les deux fenêtres suivantes.
* AVPTool s'installe sur ton Bureau dans un dossier nommé Kaspersky Lab Tool.
* L'outil se lance tout seul : coche toutes les cases dans l'onglet Automatic Scan.
* Clique maintenant sur Scan.
* Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
* A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up.
* Coche alors Apply to all et clique sur Disinfect ou sur Delete selon ce que propose la fenêtre.
* Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés.
* Ils apparaissent en rouge dans la liste : clique alors sur le bouton Neutralize all de la fenêtre de progression du scan.
* Si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur OK.
* Rends-toi maintenant dans l'onglet Events de la fenêtre de progression du scan et décoche Show all events.
* Clique enfin sur Reports puis Save to file et enregistre le rapport sur ton Bureau sous le nom Rapport AVPTool.
* Ferme les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel
* choisis Yes.
* Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, réponds Oui et laisse ton ordinateur redémarrer en Mode normal.
* Ensuite poste le rapport dans ta prochaine réponse.
il était temps d'agir, car Sality commençait à infecter les fichiers exécutables
* Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
* Tu peux imprimer le message en cliquant sur l'imprimante Image en dessous du message.
* Télécharge le scanner portable AVPTool sur ton bureau.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool
* Ensuite Redémarre le PC en mode sans échec
* Choisis ta session habituelle
* Lance l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
* Réponds Oui à la question Do you want to continue installation ?
* Clique sur Next pour les deux fenêtres suivantes.
* AVPTool s'installe sur ton Bureau dans un dossier nommé Kaspersky Lab Tool.
* L'outil se lance tout seul : coche toutes les cases dans l'onglet Automatic Scan.
* Clique maintenant sur Scan.
* Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
* A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up.
* Coche alors Apply to all et clique sur Disinfect ou sur Delete selon ce que propose la fenêtre.
* Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés.
* Ils apparaissent en rouge dans la liste : clique alors sur le bouton Neutralize all de la fenêtre de progression du scan.
* Si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur OK.
* Rends-toi maintenant dans l'onglet Events de la fenêtre de progression du scan et décoche Show all events.
* Clique enfin sur Reports puis Save to file et enregistre le rapport sur ton Bureau sous le nom Rapport AVPTool.
* Ferme les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel
* choisis Yes.
* Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, réponds Oui et laisse ton ordinateur redémarrer en Mode normal.
* Ensuite poste le rapport dans ta prochaine réponse.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
2 mars 2010 à 14:52
2 mars 2010 à 14:52
rebonjour nathandre,
j'ai téléchargé avptool mais mon ordinateur refuse de démarrer en mode sans échec :
je démarre, je presse F8, je choisis mode sans échec, j'appuie entrer, il se lance et au bout de trois secondes, léger flash et message d'erreur sur fond noir :
Windows n'a pas démarré correctement. Un nouveau logiciel ou matériel peut être responsable de ce problème.
bla bla bla
différents modes d'allumage proposés dont le sans échec que je resélectionne : même boucle
une idée ?
j'ai téléchargé avptool mais mon ordinateur refuse de démarrer en mode sans échec :
je démarre, je presse F8, je choisis mode sans échec, j'appuie entrer, il se lance et au bout de trois secondes, léger flash et message d'erreur sur fond noir :
Windows n'a pas démarré correctement. Un nouveau logiciel ou matériel peut être responsable de ce problème.
bla bla bla
différents modes d'allumage proposés dont le sans échec que je resélectionne : même boucle
une idée ?
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
- http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis 2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt
Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
- http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis 2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt
Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
Tu dois désactiver le TeaTimer de Spybot, car il va gêner les outils:
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Décoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident et vérifie qu'il soit bien désactivé.
Télécharge USBFix (de El Desaparecido, C_XX et Chimay8) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.txt
ou
https://www.ionos.fr/?affiliate_id=77097
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau .
# Sélectionne l'option 1 ( Recherche )
# Laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Décoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident et vérifie qu'il soit bien désactivé.
Télécharge USBFix (de El Desaparecido, C_XX et Chimay8) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.txt
ou
https://www.ionos.fr/?affiliate_id=77097
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau .
# Sélectionne l'option 1 ( Recherche )
# Laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
>
Utilisateur anonyme
2 mars 2010 à 16:02
2 mars 2010 à 16:02
j'ai eu un petit souci avec spybot impossible à ouvrir mais ça me paraît plausible étant donné que j'étais persuadé de l'avoir désinstaller il y a un moment par l'assistant ajout suppression de programmes
donc pour simplifier j'ai terminé sa désinstallation et éventuellement dis moi si tu penses que c'est une grosse erreur
sinon voici le rapport d'usb fix :
############################## | UsbFix V6.097 |
User : toinou (Administrateurs) # ANTOINE
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:52:29 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Genuine Intel(R) CPU T2050 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006
FW : Sunbelt Personal Firewall[ (!) Disabled ]4.5.916 T
C:\ -> Disque fixe local # 66,32 Go (30,03 Go free) # NTFS
D:\ -> Disque fixe local # 7,19 Go (1,21 Go free) [HP_RECOVERY] # FAT32
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,92 Go (464,94 Mo free) [VIVA PANDA] # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\toinou\Menu Démarrer\Programmes\Démarrage\SynTPEnh.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
HKCU\..\..\Explorer\MountPoints2\{206233e8-a575-11db-a4cf-00130257499b}
Shell\Auto\command =bittorrent.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e
HKCU\..\..\Explorer\MountPoints2\{510fa0e6-42df-11de-a9aa-00130257499b}
Shell\AutoRun\command =G:\Une-cle-pour-demarrer.exe
HKCU\..\..\Explorer\MountPoints2\{f5fb0400-dc01-11dc-a7f5-00130257499b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{f5fb0401-dc01-11dc-a7f5-00130257499b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.097 ! |
donc pour simplifier j'ai terminé sa désinstallation et éventuellement dis moi si tu penses que c'est une grosse erreur
sinon voici le rapport d'usb fix :
############################## | UsbFix V6.097 |
User : toinou (Administrateurs) # ANTOINE
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:52:29 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Genuine Intel(R) CPU T2050 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006
FW : Sunbelt Personal Firewall[ (!) Disabled ]4.5.916 T
C:\ -> Disque fixe local # 66,32 Go (30,03 Go free) # NTFS
D:\ -> Disque fixe local # 7,19 Go (1,21 Go free) [HP_RECOVERY] # FAT32
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,92 Go (464,94 Mo free) [VIVA PANDA] # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\toinou\Menu Démarrer\Programmes\Démarrage\SynTPEnh.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
HKCU\..\..\Explorer\MountPoints2\{206233e8-a575-11db-a4cf-00130257499b}
Shell\Auto\command =bittorrent.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e
HKCU\..\..\Explorer\MountPoints2\{510fa0e6-42df-11de-a9aa-00130257499b}
Shell\AutoRun\command =G:\Une-cle-pour-demarrer.exe
HKCU\..\..\Explorer\MountPoints2\{f5fb0400-dc01-11dc-a7f5-00130257499b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
HKCU\..\..\Explorer\MountPoints2\{f5fb0401-dc01-11dc-a7f5-00130257499b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.097 ! |
Utilisateur anonyme
>
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
2 mars 2010 à 16:05
2 mars 2010 à 16:05
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau
# Sélectionne l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
je dois partir, je reviendrai ce soir
spybot, tu as bien fait de le supprimer, car il est plus embêtant qu'autre chose
# Double clic sur le raccourci UsbFix présent sur ton bureau
# Sélectionne l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
je dois partir, je reviendrai ce soir
spybot, tu as bien fait de le supprimer, car il est plus embêtant qu'autre chose
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
3 mars 2010 à 10:57
3 mars 2010 à 10:57
bonjour,
et voila le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3815
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
03/03/2010 10:50:21
mbam-log-2010-03-03 (10-50-21).txt
Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 258201
Temps écoulé: 1 hour(s), 9 minute(s), 11 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\toinou\Local Settings\Application Data\juwaloybgj_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\toinou\Local Settings\Application Data\juwaloybgj_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\toinou\Local Settings\Application Data\juwaloybgj.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
et voila le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3815
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
03/03/2010 10:50:21
mbam-log-2010-03-03 (10-50-21).txt
Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 258201
Temps écoulé: 1 hour(s), 9 minute(s), 11 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\toinou\Local Settings\Application Data\juwaloybgj_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\toinou\Local Settings\Application Data\juwaloybgj_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\toinou\Local Settings\Application Data\juwaloybgj.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
>
Utilisateur anonyme
3 mars 2010 à 21:42
3 mars 2010 à 21:42
bonsoir nathandre,
oui mode sans échec toujours inaccessible
(au moment du plantage un bref écran fond bleu avec écritures apparaît puis disparaît immédiatement (pas le temps de lire))
tu penses qu'il reste des fichiers infectés ?
autre question : ma clé est elle réutilisable depuis usb fix ou toujours potentiellement dangereuse ?
oui mode sans échec toujours inaccessible
(au moment du plantage un bref écran fond bleu avec écritures apparaît puis disparaît immédiatement (pas le temps de lire))
tu penses qu'il reste des fichiers infectés ?
autre question : ma clé est elle réutilisable depuis usb fix ou toujours potentiellement dangereuse ?
Utilisateur anonyme
>
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
3 mars 2010 à 23:46
3 mars 2010 à 23:46
j'ai peut-être une solution
clique sur ce lien
http://www.oxygenepc.com/forum/reparer-le-mode-sans-echec-de-windows-t62.html
tu lis bien, toi, c'est pour XP SP3
clique sur ce lien
http://www.oxygenepc.com/forum/reparer-le-mode-sans-echec-de-windows-t62.html
tu lis bien, toi, c'est pour XP SP3
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
>
Utilisateur anonyme
4 mars 2010 à 14:43
4 mars 2010 à 14:43
bien vu merci,
mode sans échec de nouveau opérationnel,
suite des opérations ?
retour à l'étape 13 ?
question au passage : je suis toujours en mode restauration du système off, je maintiens ?
et requestion ma clé : risque ou plus risque ?
mode sans échec de nouveau opérationnel,
suite des opérations ?
retour à l'étape 13 ?
question au passage : je suis toujours en mode restauration du système off, je maintiens ?
et requestion ma clé : risque ou plus risque ?
Utilisateur anonyme
>
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
4 mars 2010 à 14:46
4 mars 2010 à 14:46
bonjour
tant mieux que le MSE remarche
Avant de réactiver la restauration système tu vas me faire un scan en ligne pour une vérification
http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1255790558103
tant mieux que le MSE remarche
Avant de réactiver la restauration système tu vas me faire un scan en ligne pour une vérification
http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1255790558103
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
5 mars 2010 à 00:39
5 mars 2010 à 00:39
mince : une boulette
j'ai utilisé tools cleaner obtenu le rapport que j'ai copié dans un message de ce type et j'ai tout de suite détruit le fichier txt dans C.
sauf qu'ensuite c cleaner a fermé mozilla pour l'analyser et j'ai donc perdu le rapport... (boulet)
bon sinon c cleaner a nettoyé plein de choses
au passage dois-je désinstaller c cleaner ?
j'ai remis la restauration
j'ai créé le point restauration
il me reste à supprimer tous les liens sur le bureau de type : dr web, reanimator, malware bytes
c'est gagné a priori ?
j'ai utilisé tools cleaner obtenu le rapport que j'ai copié dans un message de ce type et j'ai tout de suite détruit le fichier txt dans C.
sauf qu'ensuite c cleaner a fermé mozilla pour l'analyser et j'ai donc perdu le rapport... (boulet)
bon sinon c cleaner a nettoyé plein de choses
au passage dois-je désinstaller c cleaner ?
j'ai remis la restauration
j'ai créé le point restauration
il me reste à supprimer tous les liens sur le bureau de type : dr web, reanimator, malware bytes
c'est gagné a priori ?
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
5 mars 2010 à 00:51
5 mars 2010 à 00:51
bon je pars me coucher,
à demain pour une dernière confirmation ?
à demain pour une dernière confirmation ?
bonjour
Dernières recommandations:
*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et pense à le mettre à jour avant chaque scan
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
*Nettoye ton PC régulièrement avec C Cleaner, et il faut défragmenter régulièrement le disque dur pour éviter les ralentissements
*Soit prudent quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit et que tu le met à jour, il faut refuser les compléments telles que les barres d'outil, ne télécharge pas de logiciels que tu ne connais pas et sur des sites que tu ne connais pas
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car on risque de télécharger avec des fichiers infectés
*Sache que le meilleur anti-virus, c'est ta vigilence
*Fait très attention aussi aux pubs qui proposent des logiciels de sécurité qui sont des faux et qui sont appelés rogues, ne clique jamais sur les pubs
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation, si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont néfastes
*Il est indispensable de faire des sauvegardes régulièrement dans un support externe, car en cas d'infection, tu auras un double des tes documents
Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
un site dangereux
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Dernières recommandations:
*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et pense à le mettre à jour avant chaque scan
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
*Nettoye ton PC régulièrement avec C Cleaner, et il faut défragmenter régulièrement le disque dur pour éviter les ralentissements
*Soit prudent quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit et que tu le met à jour, il faut refuser les compléments telles que les barres d'outil, ne télécharge pas de logiciels que tu ne connais pas et sur des sites que tu ne connais pas
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car on risque de télécharger avec des fichiers infectés
*Sache que le meilleur anti-virus, c'est ta vigilence
*Fait très attention aussi aux pubs qui proposent des logiciels de sécurité qui sont des faux et qui sont appelés rogues, ne clique jamais sur les pubs
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation, si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont néfastes
*Il est indispensable de faire des sauvegardes régulièrement dans un support externe, car en cas d'infection, tu auras un double des tes documents
Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
un site dangereux
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
5 mars 2010 à 16:35
5 mars 2010 à 16:35
ok merci pour ces derniers conseils,
et merci surtout pour le temps consacré,
bon courage pour la suite,
à une prochaine peut-être (même si j'espère pas trop...)
merci
et merci surtout pour le temps consacré,
bon courage pour la suite,
à une prochaine peut-être (même si j'espère pas trop...)
merci
Encore une chose, c'est important
* Télécharge Update Checker
http://www.filehippo.com/updatechecker/FHSetup.exe
* Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.
* Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.
* Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.
* Un conseil : n'installe pas les BETA qui sont listées en dessous.
* Tu installes les mises à jour que tu désires
Ce petit logiciel indique les mises à jour disponibles à installer sur le PC
* Télécharge Update Checker
http://www.filehippo.com/updatechecker/FHSetup.exe
* Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.
* Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.
* Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.
* Un conseil : n'installe pas les BETA qui sont listées en dessous.
* Tu installes les mises à jour que tu désires
Ce petit logiciel indique les mises à jour disponibles à installer sur le PC
toinou974
Messages postés
13
Date d'inscription
mardi 2 mars 2010
Statut
Membre
Dernière intervention
6 mars 2010
6 mars 2010 à 00:49
6 mars 2010 à 00:49
ok c'est fait aussi,
bonne continuation
bonne continuation
1 mars 2010 à 23:03
j'ai commencé certaines manip avec fabul,
est-il utile et ou plus rapide que je fasse aussi ce que tu proposes ?
1 mars 2010 à 23:06