Sujet Précédent Sujet Suivant

SOS ROGUE

Résolu/Fermé
princess nanou - 2 mars 2010 à 18:47
 Utilisateur anonyme - 19 mai 2010 à 07:31
Bonjour,

Depuis avoir cliquer sur une pub (je pense) mon PC est contaminé par un rogue. J'ai windows vista et ai deja essayé pas de chose (navilog1 smitfraudfix et malwaresbytes)
Rien n'y fait, je déséspere SVP aidez moi !!!!
L'acces à internet est impossible car blogué par ce faux logiciel de protection.
Je n arrive non plus à désativer l'UAC. A chaque fois que je décohe l'option et que je valide, le pc n enregistre pas la modif!!!!

Le message: " Windows security alert " dans la barre des tachs apparait sans cesse et un message "sécurity warnig : Application cannot be executed The file smiaonlinesyncclient.exe is infected Do you want to ativate your antivirus softwar now? oui non

Et un rapport antivirus softawere alert apparait regulieremet en m informat qu un fichier x y z a b c etc est infecté.

Bref c la galère, je ne m en sort pas merci d avance pour votre precieuse aide
A voir également:

52 réponses

Réponse 1 / 52
Utilisateur anonyme
7 mars 2010 à 20:12
j'ai eu ton rapport mais incomplet !

• Télécharge FindyKill sur le Bureau :
http://findykill.changelog.fr/Setup.exe
ou
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Findykill, « exécuter en tant qu’Administrateur »
• Double-cliquez sur FindyKill présent sur le Bureau.
• Choisis l’option F pour la langue
• Choisissez l'option 2
• Laissez travailler l'outil.
• Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
• Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
• Tuto : http://pagesperso-orange.fr/NosTools/index.html
Note : l'UAC de Vista ne gêne plus FindyKill.


•/!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharge USBFIX sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici :
https://www.ionos.fr/?affiliate_id=77097

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de USBFIX, « exécuter en tant qu’Administrateur »

• Choisis l'option 2

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaîtra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.


• Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
2
Réponse 2 / 52
Utilisateur anonyme
2 mars 2010 à 18:50
Normale ces un rogue un faux logiciel de sécurité qui a pour but de te faire payer son produit qui ne marche pas

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

si cela coince, faire la même chose en mode sans échec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
0
Réponse 3 / 52
Utilisateur anonyme
2 mars 2010 à 18:54
vista et ai deja essayé pas de chose (navilog1 smitfraudfix et malwaresbytes)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
0
Réponse 4 / 52
Utilisateur anonyme
2 mars 2010 à 18:56
poste les rapport de tous le scan que tu a effectuer (navilog et le reste )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 52
Utilisateur anonyme
2 mars 2010 à 18:57
lol oui mais la til mis a jour ? quand on ne sais pas on refais
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 22:49
hello,


quand on ne sais pas on refais


moi je dirai plus "quand on ne sais pas" , bah on demande le rapport obtenu afin de savoir si MBAM fut à jour lors de son utilisation ... ensuite on avise ... ( cela évite de perdre 1 heure si l'outil était bien à jour ) ...


bref , cela n'engage que moi .... ^^'


Bonne suite à vous ...

0
Réponse 6 / 52
Spiebot
2 mars 2010 à 18:58
Salut,

Essaye les scans en mode sans échec, et la restauration, si possible...
0
Réponse 7 / 52
Utilisateur anonyme
2 mars 2010 à 18:59
non pas de restauration car les virus infecte les points de restauration donc sa ne changeras rien
0
Réponse 8 / 52
Spiebot
2 mars 2010 à 19:01
Restaurer AVANT l'infection, of course.
0
Réponse 9 / 52
Utilisateur anonyme
2 mars 2010 à 19:02
oui spiebot dis pas n'importe quoi stp.......rien ne prouve que ViruT soit present
0
Réponse 10 / 52
Utilisateur anonyme
2 mars 2010 à 19:02
oui mais il est infecter et en plus comment savoir si on est infecter ou pas ? avec rsit bien sur mais pas grand monde sais le lire
0
Réponse 11 / 52
Spiebot
2 mars 2010 à 19:05
Restaure avant l'infection, ça peut te permettre peut être d'avoir internet.
0
Réponse 12 / 52
Utilisateur anonyme
2 mars 2010 à 19:06
bof pas dur ^^
0
Réponse 13 / 52
princess nanou
2 mars 2010 à 22:42
Re,

Ci dessous rapport malwarebytes, apparment aucun virus détecté :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

02/03/2010 22:28:25
mbam-log-2010-03-02 (22-28-25).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 266088
Temps écoulé: 1 hour(s), 35 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et ci-dessous rapport navilog idem :

Fix Navipromo version 4.0.6 commencé le 02/03/2010 22:31:18,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Professionnel ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz )
BIOS : SMI_v1.0Y
USER : perso ( Administrator )
BOOT : Normal boot

Antivirus : Trend Micro Internet Security 17.1.1365 (Not Activated)


C:\ (Local Disk) - NTFS - Total:141 Go (Free:68 Go)
D:\ (USB)
E:\ (USB)
F:\ (CD or DVD)
G:\ (USB) - FAT - Total:487 Mo (Free:0 Go)


Recherche executée en mode normal


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 02/03/2010 22:31:41,09 ***

Mais j ai l impression que ca n arien fait

D avance merci pour votre aide et vos conseils
0
Réponse 14 / 52
princess nanou
2 mars 2010 à 22:42
Re,

Ci dessous rapport malwarebytes, apparment aucun virus détecté :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

02/03/2010 22:28:25
mbam-log-2010-03-02 (22-28-25).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 266088
Temps écoulé: 1 hour(s), 35 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et ci-dessous rapport navilog idem :

Fix Navipromo version 4.0.6 commencé le 02/03/2010 22:31:18,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Professionnel ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz )
BIOS : SMI_v1.0Y
USER : perso ( Administrator )
BOOT : Normal boot

Antivirus : Trend Micro Internet Security 17.1.1365 (Not Activated)


C:\ (Local Disk) - NTFS - Total:141 Go (Free:68 Go)
D:\ (USB)
E:\ (USB)
F:\ (CD or DVD)
G:\ (USB) - FAT - Total:487 Mo (Free:0 Go)


Recherche executée en mode normal


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 02/03/2010 22:31:41,09 ***

Mais j ai l impression que ca n arien fait

D avance merci pour votre aide et vos conseils
0
Réponse 15 / 52
Utilisateur anonyme
2 mars 2010 à 22:49
Malwarebyts n'est pas a jour fais sa va dans onglet mise a jour puis tu fais rechercher les mise a jour puis refais un examen complet
0
Réponse 16 / 52
princess nanou
3 mars 2010 à 10:05
Bonjour,

Je ne peux pas faire les mises à jour. un message d'erreur apparait.

Comment faire?

Merci
0
Réponse 17 / 52
Utilisateur anonyme
3 mars 2010 à 10:16
salut pour avancer :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge List_Kill'em et enregistre le sur ton bureau

Redemarre ton pc en mode sans echec !

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

0
Réponse 18 / 52
princess nanou
3 mars 2010 à 20:25
Bonjour,

Merci encore pour c conseils. Ci-dessous le rapport (jespre que c le bon, ou à defaut que je peu retrouver le bon!!!):
List'em by g3n-h@ckm@n 1.2.8.5

User : perso ()
Update on 03/03/2010 by g3n-h@ckm@n ::::: 18.30
Start at: 19:45:02 | 03/03/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz
Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
AV : Trend Micro Internet Security 17.1.1365 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local | 141,88 Go (70,33 Go free) | NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque CD-ROM
G:\ -> Disque amovible | 487,25 Mo (20,8 Mo free) | FAT

Boot: Safeboot


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\perso\AppData\Local\Temp\845B.tmp\pv.exe

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NSUFloatingUI REG_SZ "C:\Program Files\Sony\Network Utility\LANUtil.exe"
OE REG_SZ C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
Google Update REG_SZ "C:\Users\perso\AppData\Local\Google\Update\GoogleUpdate.exe" /c
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
IgfxTray REG_SZ C:\Windows\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\Windows\system32\hkcmd.exe
Persistence REG_SZ C:\Windows\system32\igfxpers.exe
RtHDVCpl REG_SZ RtHDVCpl.exe
SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<NO NAME> REG_SZ
ISBMgr.exe REG_SZ "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
MarketingTools REG_SZ C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
UfSeAgnt.exe REG_SZ "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
WKMobileDevices REG_SZ "C:\Program Files\AnNoText GmbH\DictaPlus\bin\wk.MobileDevices.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
AppleSyncNotifier REG_SZ C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
snpstd3 REG_SZ C:\Windows\vsnpstd3.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
NCInstallQueue REG_SZ rundll32 netman.dll,ProcessQueue

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 1 (0x1)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 145 (0x91)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 39 (0x27)

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{0CCA191D-13A6-4E29-B746-314DEE697D83}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AE7CD045-E861-484f-8273-0445EE161910}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{CA6319C0-31B7-401E-A518-A07C3DB8F777}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

===
DNS
===

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0D96471-D2B1-453E-B579-AB106065B968}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{004951EF-7711-44A0-9BA3-535E0E4B76F3}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F0D96471-D2B1-453E-B579-AB106065B968}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.fr/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x4 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\perso\AppData\Local\Temp\845B.tmp
## C:\> hashdeep.exe C:\Windows\SoftwareDistribution\Download\cde11068f5b77b180111333ef9781925\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
##
19944,1f05b78ab91c9075565a9d8a4b880bc4,737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd,C:\Windows\SoftwareDistribution\Download\cde11068f5b77b180111333ef9781925\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\perso\AppData\Local\Temp\845B.tmp
## C:\> hashdeep.exe C:\Windows\System32\drivers\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\System32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\perso\AppData\Local\Temp\845B.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
##
19048,4f4fcb8b6ea06784fb6d475b7ec7300f,6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\perso\AppData\Local\Temp\845B.tmp
## C:\> hashdeep.exe C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\perso\AppData\Local\Temp\845B.tmp
## C:\> hashdeep.exe C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
##
21560,2d9c903dc76a66813d350a562de40ed9,82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3,C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C:

Taille du volume = 142 Go
Espace libre = 70.31 Go
tendue d'espace libre la plus grande = 34.24 Go
Pourcentage de fragmentation des fichiers = 7 %

Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

Il n'est pas n‚cessaire de d‚fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Windows\DUMP6a17.tmp
Present !! : C:\Windows\System32\404Fix.exe
Present !! : C:\Windows\System32\dumphive.exe"
Present !! : C:\Windows\System32\IEDFix.exe
Present !! : C:\Windows\System32\service
Present !! : C:\Windows\System32\SrchSTS.exe
Present !! : C:\Windows\System32\tmp.reg"
Present !! : C:\Windows\System32\VACFix.exe
Present !! : C:\Windows\System32\VCCLSID.exe
Present !! : C:\Windows\System32\WS2Fix.exe
Present !! : C:\Windows\System32\x64
Present !! : C:\Users\perso\Local Settings\Temp\alm.log
Present !! : C:\Users\perso\Local Settings\Temp\amt.log
Present !! : C:\Users\perso\LOCAL Settings\Temp\hrhxqv.exe
Present !! : C:\Users\perso\LOCAL Settings\Temp\install_flash_player.exe
Present !! : C:\Users\perso\LOCAL Settings\Temp\ludiPluginLauncher.exe
Present !! : C:\Users\perso\LOCAL Settings\Temp\ludiPluginSetup.exe
Present !! : C:\Users\perso\LOCAL Settings\Temp\wlsetup-cvr.exe
Present !! : C:\Users\perso\LOCAL Settings\Temp\atl80.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\libexpat.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\mfc80.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\mfc80u.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\mfcm80.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\mfcm80u.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\msvcm80.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\msvcp80.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\msvcr80.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\nlsdl.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\TmDbg32.dll
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmp19AB.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmp5B15.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmp7BA0.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmp7BA1.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmpB55A.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmpB60C.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmpBCF9.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmpBCFA.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmpC623.tmp
Present !! : C:\Users\perso\LOCAL Settings\Temp\tmpC624.tmp

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKCU\SOFTWARE\avsoft
Present !! : HKLM\SOFTWARE\avsoft
Present !! : "HKLM\software\Poker 770"

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-03 20:00:07
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e3d8b74ef]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e3debd9cb]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e3df5f677]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e3d8b74ef]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e3debd9cb]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e3df5f677]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys hal.dll
kernel: MBR read successfully
user & kernel MBR OK


¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials





¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 20:18:40,48
0
Réponse 19 / 52
Utilisateur anonyme
3 mars 2010 à 20:29
▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

▶ colle le contenu dans ta reponse
0
Réponse 20 / 52
princess nanou
3 mars 2010 à 21:28
Et voila le rapport :

Kill'em by g3n-h@ckm@n 1.2.8.5

User : perso ()
Update on 03/03/2010 by g3n-h@ckm@n ::::: 18.30
Start at: 20:47:30 | 03/03/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 Duo CPU T5870 @ 2.00GHz
Microsoft® Windows Vista™ Professionnel (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
AV : Trend Micro Internet Security 17.1.1365 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local | 141,88 Go (70,22 Go free) | NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\svchost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\cmd.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\perso\AppData\Local\Temp\D3F2.tmp\ERUNT.EXE
C:\Users\perso\AppData\Local\Temp\D3F2.tmp\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Windows\DUMP6a17.tmp

Quarantined & Deleted !! : C:\Windows\System32\404Fix.exe
Quarantined & Deleted !! : C:\Windows\System32\dumphive.exe
Quarantined & Deleted !! : C:\Windows\System32\IEDFix.exe
Quarantined & Deleted !! : C:\Windows\System32\service
Quarantined & Deleted !! : C:\Windows\System32\SrchSTS.exe
Quarantined & Deleted !! : C:\Windows\System32\tmp.reg
Quarantined & Deleted !! : C:\Windows\System32\VACFix.exe
Quarantined & Deleted !! : C:\Windows\System32\VCCLSID.exe
Quarantined & Deleted !! : C:\Windows\System32\WS2Fix.exe
Quarantined & Deleted !! : C:\Windows\System32\x64
Quarantined & Deleted !! : C:\Users\perso\Local Settings\Temp\alm.log
Quarantined & Deleted !! : C:\Users\perso\Local Settings\Temp\amt.log
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\hrhxqv.exe
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\install_flash_player.exe
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\ludiPluginLauncher.exe
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\ludiPluginSetup.exe
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\wlsetup-cvr.exe
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\atl80.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\libexpat.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\mfc80.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\mfc80u.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\mfcm80.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\mfcm80u.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\msvcm80.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\msvcp80.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\msvcr80.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\nlsdl.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\TmDbg32.dll
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmp19AB.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmp5B15.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmp7BA0.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmp7BA1.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmpB55A.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmpB60C.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmpBCF9.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmpBCFA.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmpC623.tmp
Quarantined & Deleted !! : C:\Users\perso\LOCAL Settings\Temp\tmpC624.tmp

==============
host file OK !
==============

========
Registry
========

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0

Discussions similaires

Harry Potter
louloutte27089 -
Livine -

5 réponses
George Wassouf parle de son fils (2008)
momo -
houssem.tito -

2 réponses
que faut-il faire avoir battu Rogue???
melina-51 -
kevin -

2 réponses
Rogue
wuizak -
devilseyes -

1 réponse
Pas de HDR et de Ray Tracing Robocop Rogue City
fox56 -
Panth33ra -

6 réponses