Je n'arrive pas à démarrer en mode sans échec
Résolu
xafer07
Messages postés
61
Date d'inscription
Statut
Membre
Dernière intervention
-
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
je veux démarrer en mode sans échec, et, malgré une pression dès l'allumage du PC sur la touche F8, je n'arrive pas à me mettre en mode sans échec. J'ai aussi essayé F5, sans résultats. J'ai XP, comment ça se fait ?
Je veux me mettre en mode sans échec pour pouvoir éliminer le spyware temp532.
Et voila mon rapport HijackThis; quels sont les cages à cocher ?
Merci pour tout !
je veux démarrer en mode sans échec, et, malgré une pression dès l'allumage du PC sur la touche F8, je n'arrive pas à me mettre en mode sans échec. J'ai aussi essayé F5, sans résultats. J'ai XP, comment ça se fait ?
Je veux me mettre en mode sans échec pour pouvoir éliminer le spyware temp532.
Et voila mon rapport HijackThis; quels sont les cages à cocher ?
Merci pour tout !
A voir également:
- La touche f8 ne fonctionne pas
- Mode sans echec ps4 - Guide
- Démarrer en mode sans echec - Guide
- Mode avion - Guide
- Windows ne démarre pas - Guide
- Mode sécurisé samsung - Guide
66 réponses
(suite)
Donc telecharge ELIBAGLA en cliquant sur le bouton radio "Descargar Elibagla", tout au bas http://img49.imageshack.us/img49/2295/screenshot176cv5.png de la page découverte par ce lien: < http://www.zonavirus.com/datos/descargas/95/elibagla.asp > et place-le sur le Bureau.
Double-clique sur "EliBaglA.exe" pour l'ouvrir.
S'assurer que dans le champ déroulant de "Unidad:", vous ayez bien "C:\"
Vérifier aussi aussi que la case "Eliminar Ficheros Automaticamente" en bas de la fenêtre soit bien cochée.
Clique sur le bouton "Explorar" pour lancer l'analyse < https://www.malekal.com/fichiers/forum/elibagletv5.png >.
En fin d'analyse, poster le rapport généré .
Ré-essaie le MSE maintenant
Donc telecharge ELIBAGLA en cliquant sur le bouton radio "Descargar Elibagla", tout au bas http://img49.imageshack.us/img49/2295/screenshot176cv5.png de la page découverte par ce lien: < http://www.zonavirus.com/datos/descargas/95/elibagla.asp > et place-le sur le Bureau.
Double-clique sur "EliBaglA.exe" pour l'ouvrir.
S'assurer que dans le champ déroulant de "Unidad:", vous ayez bien "C:\"
Vérifier aussi aussi que la case "Eliminar Ficheros Automaticamente" en bas de la fenêtre soit bien cochée.
Clique sur le bouton "Explorar" pour lancer l'analyse < https://www.malekal.com/fichiers/forum/elibagletv5.png >.
En fin d'analyse, poster le rapport généré .
Ré-essaie le MSE maintenant
Bonjour
Merci pour tes conseils.
J'ai installé le disque dur en slave sur un autre PC. Je suis en train de faire ce que tu proposes plus haut (je ne pouvais pas avant car cela ne fonctionne qu'avec windows et le pc planté n'allait pas jusque là).
Pourrais-tu me dire comment modifier le fichier boot.ini pour enlever la commande mode sans échec pour pouvoir remettre mon disque dur dans sa boîte.
Ce fichier ne se trouve pas dans le répertoire windows. Peut-être par un autre fichier ?
En tout cas merci beaucoup
Merci pour tes conseils.
J'ai installé le disque dur en slave sur un autre PC. Je suis en train de faire ce que tu proposes plus haut (je ne pouvais pas avant car cela ne fonctionne qu'avec windows et le pc planté n'allait pas jusque là).
Pourrais-tu me dire comment modifier le fichier boot.ini pour enlever la commande mode sans échec pour pouvoir remettre mon disque dur dans sa boîte.
Ce fichier ne se trouve pas dans le répertoire windows. Peut-être par un autre fichier ?
En tout cas merci beaucoup
Bonjour murphynette
Voici mon BOOT.INI :
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /bootlog /NoExecute=OptIn
En fonction de ton OS, tu devrais avoir cette configuration de base:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)partition(2)\WINDOWS="Microsoft Windows XP Familial" /fastdetect
Attention.
rdisk(0) Désigne le disque physique 1 .
Exemple : le disque dur 2 => s'écrira rdisk(1), et le disque dur 3 => s'écrira rdisk(2)
Partition(1) Désigne le numéro de partition sur laquelle est installé le système d'exploitation.
Exemple : s'il y a deux partitions, C et D, la partition C est désignée par Partition(1) et la partition D par Partition(2)
Et ELIBAGLA restaure le mode sans échec; plus particulièrement lorsque le PC a été victime de l'infection Bagle.
Si tu sais redémarrer, fais ce ScanOnline secuser.com < http://www.secuser.com/outils/antivirus.htm >
Activer les Actives X , et lire/imprimer ce qui est en bas à gauche « Utilisation du scan en ligne » < http://img123.imageshack.us/img123/5800/screenshot178wg9.png >
Ou alors là si ça te paraît plus facile http://support.f-secure.fr/fra/home/ols.shtml
Bonne chance
Al.
Voici mon BOOT.INI :
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /bootlog /NoExecute=OptIn
En fonction de ton OS, tu devrais avoir cette configuration de base:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)partition(2)\WINDOWS="Microsoft Windows XP Familial" /fastdetect
Attention.
rdisk(0) Désigne le disque physique 1 .
Exemple : le disque dur 2 => s'écrira rdisk(1), et le disque dur 3 => s'écrira rdisk(2)
Partition(1) Désigne le numéro de partition sur laquelle est installé le système d'exploitation.
Exemple : s'il y a deux partitions, C et D, la partition C est désignée par Partition(1) et la partition D par Partition(2)
Et ELIBAGLA restaure le mode sans échec; plus particulièrement lorsque le PC a été victime de l'infection Bagle.
Si tu sais redémarrer, fais ce ScanOnline secuser.com < http://www.secuser.com/outils/antivirus.htm >
Activer les Actives X , et lire/imprimer ce qui est en bas à gauche « Utilisation du scan en ligne » < http://img123.imageshack.us/img123/5800/screenshot178wg9.png >
Ou alors là si ça te paraît plus facile http://support.f-secure.fr/fra/home/ols.shtml
Bonne chance
Al.
Je viens de rentrer du boulot et avant de relire scrupuleusement ton dernier message, Je t'indique ce que ELIBAGLA met :
HIDR.EXE - bagle
SROSA.SYS - bagle rockit
infectados 2
eliminados 2
J'ai analysé avec norton qui n'a rien trouvé.
Pour ce qui est scanner en ligne, je l'avais fait dernièrement mais je vais refaire.
Merci
HIDR.EXE - bagle
SROSA.SYS - bagle rockit
infectados 2
eliminados 2
J'ai analysé avec norton qui n'a rien trouvé.
Pour ce qui est scanner en ligne, je l'avais fait dernièrement mais je vais refaire.
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Il est là ton souci !! ==> HIDR.EXE - bagle et SROSA.SYS - bagle rockit
Mais je ne vois pas tout le rapport .
Y avait-il au bas de ce log : « Restaurada Clave: "SafeBoot\Minimal y Network" », ou qqch. de ressemblant ?
As-tu ainsi retrouver ton mode sans échec ?
Il faudrait tenter une analyse HijackThis comme ceci:
a)- Avec connexion au Net en service,
- Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
et enregistre-le sur le bureau.
Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.
b)- Installation :
•- Se déconnecter du Net, soit en coupant la connexion de son modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
•- Clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et clic sur "Ouvrir" dans le menu contextuel.
- Ensuite, clic sur « Exécuter », puis sur « Install ».
- Accepte la licence en cliquant sur le bouton "I Accept"
- Le programme s’installe de lui-même dans un dossier dédié.
- Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
- Et un raccourci pour lancer l’analyse apparaît sur le bureau.
•- Reconnecte ton modem.
•- Arrête puis Redémarre ton PC impérativement.
POURQUOI l'installer là ?
-Le problème consiste à avoir un dossier dédié à HijackThis;
-car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
-L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
-Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.
c)- Analyse :
•-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
- Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!
•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
•- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
d)- Rapport:
- À la fin du scan le bloc-notes va s'ouvrir sur le bureau
- Tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum.
- (Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log).
e)- Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] >
Tutorial de BipBip < [ http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm ] >
Merci
Al.
Il est là ton souci !! ==> HIDR.EXE - bagle et SROSA.SYS - bagle rockit
Mais je ne vois pas tout le rapport .
Y avait-il au bas de ce log : « Restaurada Clave: "SafeBoot\Minimal y Network" », ou qqch. de ressemblant ?
As-tu ainsi retrouver ton mode sans échec ?
Il faudrait tenter une analyse HijackThis comme ceci:
a)- Avec connexion au Net en service,
- Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
et enregistre-le sur le bureau.
Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.
b)- Installation :
•- Se déconnecter du Net, soit en coupant la connexion de son modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
•- Clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et clic sur "Ouvrir" dans le menu contextuel.
- Ensuite, clic sur « Exécuter », puis sur « Install ».
- Accepte la licence en cliquant sur le bouton "I Accept"
- Le programme s’installe de lui-même dans un dossier dédié.
- Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
- Et un raccourci pour lancer l’analyse apparaît sur le bureau.
•- Reconnecte ton modem.
•- Arrête puis Redémarre ton PC impérativement.
POURQUOI l'installer là ?
-Le problème consiste à avoir un dossier dédié à HijackThis;
-car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
-L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
-Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.
c)- Analyse :
•-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
- Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!
•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
•- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
d)- Rapport:
- À la fin du scan le bloc-notes va s'ouvrir sur le bureau
- Tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum.
- (Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log).
e)- Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] >
Tutorial de BipBip < [ http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm ] >
Merci
Al.
Je te colle le rapport en entier. Je ne savais pas qu'il créait un fichier, je l'ai vu après avoir mis mon dernier message
Fri Nov 23 07:17:28 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Hidires"
Fri Nov 23 07:31:06 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 07:31:09 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Fri Nov 23 07:35:24 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 07:36:10 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Fri Nov 23 07:38:09 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 07:38:13 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Fri Nov 23 12:07:07 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 12:07:17 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad L:\
L:\WINDOWS\system32\drivers\HIDR.EXE --> Eliminado Bagle
L:\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)
Nº Total de Directorios: 19886
Nº Total de Ficheros: 251047
Nº de Ficheros Analizados: 17105
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
________________________________________________________________
Apparemment je ne vois pas « Restaurada Clave: "SafeBoot\Minimal y Network"
Pour l'instant, je fais un F-secure en ligne (il n'a pas encore fini). Pour l'instant pas de virus mais des logiciels espions.
Je ferai HijackThis ensuite en suivant tes conseils.
Je pense te mettre le rapport demain après-midi.
Merci encore et bonne soirée.
Fri Nov 23 07:17:28 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Hidires"
Fri Nov 23 07:31:06 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 07:31:09 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Fri Nov 23 07:35:24 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 07:36:10 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Fri Nov 23 07:38:09 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 07:38:13 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Fri Nov 23 12:07:07 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Nov 23 12:07:17 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad L:\
L:\WINDOWS\system32\drivers\HIDR.EXE --> Eliminado Bagle
L:\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)
Nº Total de Directorios: 19886
Nº Total de Ficheros: 251047
Nº de Ficheros Analizados: 17105
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
________________________________________________________________
Apparemment je ne vois pas « Restaurada Clave: "SafeBoot\Minimal y Network"
Pour l'instant, je fais un F-secure en ligne (il n'a pas encore fini). Pour l'instant pas de virus mais des logiciels espions.
Je ferai HijackThis ensuite en suivant tes conseils.
Je pense te mettre le rapport demain après-midi.
Merci encore et bonne soirée.
Pour le rapport, j'ai oublié de te dire que le disque dur à problème comporte la lettre L pour l'instant.
Je suis en train de me rendre compte que pour le c (PC sur lequel L est provisoirement installé) le rapport indique ceci . Les deux dernières lignes m'inquiètent. J'avais fait ELIBAGLE ce matin sur ce PC pour voir.
Fri Nov 23 07:38:13 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Merci.
Je suis en train de me rendre compte que pour le c (PC sur lequel L est provisoirement installé) le rapport indique ceci . Les deux dernières lignes m'inquiètent. J'avais fait ELIBAGLE ce matin sur ce PC pour voir.
Fri Nov 23 07:38:13 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1380408435
Nº Total de Ficheros: 1835615809
Nº de Ficheros Analizados: 845506401
Nº de Ficheros Infectados: 1768702765
Nº de Ficheros Limpiados: 1937010277
Merci.
Re
Cit. « le disque dur à problème comporte la lettre L pour l'instant. » ==> oui, j'avais vu, merci.
Pour l'analyse sur ton C:\ le rapport n'indique pas d'infection Bagle (pour le moment).
A)- Mais je ne suis pas tranquille.
Plus le temps passe, et plus je crains pour les .exe.
J'attends évidemment le rapport de l'analyse en cours par F-Secure.
B)- Si tu trouves ceci , supprime-les:
Les fichiers:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
Les dossiers:
C:\WINDOWS\exefld
c:\Documents and Settings\%USERNAME%\Application Data\hidires
C:\Program Files\RamBooster
Les sous-clés (via regedit):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
C)- Mais au lieu de lancer HJT (tu le feras pls tard) je préfèrerais que tu lance ceci:
Effectuer un eScan Antivirus Toolkit < https://www.malekal.com/tutorial-escan-antivirus-toolkit/ >
Il faudra, à l'étape 4)-, exécuter en mode sans échec (< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > ) et restauration système désactivée (< http://www.libellules.ch/desactiver_restauration.php > afin de pouvoir effectuer un nettoyage complet.
Donc imprime cette procédure maintenant.
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau > puis [Exécuter]
Dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky)
< https://www.hiboox.com >
Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
< https://www.hiboox.com >
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\) ==> dans ce cas, je crois qu'il faut choisir L (le disque a analyser); double-clique sur le dossier "Kaspersky" ; ensuite, double-clique sur le fichier kavupd.exe.
< https://www.hiboox.com >
Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer.
Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky.
Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
•- Désactive la restauration système :
"Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK
Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .
•- Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky
2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran.
3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire:
- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, (et non "Program Files").
6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -).
(eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum).
Ferme le programme.
Redémarre ton PC en mode Normal.
Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Désolé
Merci
Cit. « le disque dur à problème comporte la lettre L pour l'instant. » ==> oui, j'avais vu, merci.
Pour l'analyse sur ton C:\ le rapport n'indique pas d'infection Bagle (pour le moment).
A)- Mais je ne suis pas tranquille.
Plus le temps passe, et plus je crains pour les .exe.
J'attends évidemment le rapport de l'analyse en cours par F-Secure.
B)- Si tu trouves ceci , supprime-les:
Les fichiers:
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
Les dossiers:
C:\WINDOWS\exefld
c:\Documents and Settings\%USERNAME%\Application Data\hidires
C:\Program Files\RamBooster
Les sous-clés (via regedit):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
C)- Mais au lieu de lancer HJT (tu le feras pls tard) je préfèrerais que tu lance ceci:
Effectuer un eScan Antivirus Toolkit < https://www.malekal.com/tutorial-escan-antivirus-toolkit/ >
Il faudra, à l'étape 4)-, exécuter en mode sans échec (< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > ) et restauration système désactivée (< http://www.libellules.ch/desactiver_restauration.php > afin de pouvoir effectuer un nettoyage complet.
Donc imprime cette procédure maintenant.
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau > puis [Exécuter]
Dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky)
< https://www.hiboox.com >
Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
< https://www.hiboox.com >
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\) ==> dans ce cas, je crois qu'il faut choisir L (le disque a analyser); double-clique sur le dossier "Kaspersky" ; ensuite, double-clique sur le fichier kavupd.exe.
< https://www.hiboox.com >
Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer.
Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky.
Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
•- Désactive la restauration système :
"Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK
Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .
•- Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky
2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran.
3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire:
- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, (et non "Program Files").
6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -).
(eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum).
Ferme le programme.
Redémarre ton PC en mode Normal.
Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Désolé
Merci
Bonjour Afideg
Et oui encore elle !!!
Tout d'abord, bonne nouvelle (pour l'instant), mon PC refonctionne. Je t'envoie ce message par celui-ci.
Je l'avais remis dans le boîtier après avoir procédé jusqu'aux étapes A et B ci-dessus, mais c'était toujours pareil.
Je suis enfin arrivée dans la console de récupération, sans mot de passe (hier cela ne fonctionnait pas). Je me suis rendue compte que le fichier boot.ini s'affichait parmi tous les fichiers en C et avec l'aide des discussions que j'ai trouvées sur ce site.
J'ai copié un boot.ini selon tes indications plus haut sur une disquette et recopié en C. Et là grâce à un Pro comme toi miracle !!!
Par contre j'ai trouvé et écrasé exefld.
Dans le registre j'ai tout ce que tu m'indiques et je ne parviens pas à supprimer. Refus.
En ce moment je refais un F-SECURE en ligne car hier il avait trouvé des virus mais s'est déconnecté sans rien me demander donc je pense qu'il n'a rien écrasé.
Après le Scan je ferai le C que tu proposais ci-dessus.
Je te remercie encore et te souhaite un bon week end
Murphynette
Et oui encore elle !!!
Tout d'abord, bonne nouvelle (pour l'instant), mon PC refonctionne. Je t'envoie ce message par celui-ci.
Je l'avais remis dans le boîtier après avoir procédé jusqu'aux étapes A et B ci-dessus, mais c'était toujours pareil.
Je suis enfin arrivée dans la console de récupération, sans mot de passe (hier cela ne fonctionnait pas). Je me suis rendue compte que le fichier boot.ini s'affichait parmi tous les fichiers en C et avec l'aide des discussions que j'ai trouvées sur ce site.
J'ai copié un boot.ini selon tes indications plus haut sur une disquette et recopié en C. Et là grâce à un Pro comme toi miracle !!!
Par contre j'ai trouvé et écrasé exefld.
Dans le registre j'ai tout ce que tu m'indiques et je ne parviens pas à supprimer. Refus.
En ce moment je refais un F-SECURE en ligne car hier il avait trouvé des virus mais s'est déconnecté sans rien me demander donc je pense qu'il n'a rien écrasé.
Après le Scan je ferai le C que tu proposais ci-dessus.
Je te remercie encore et te souhaite un bon week end
Murphynette
murphynette ?
Allo?
Pas de nouvelle = PC bloqué ?
C'est bizarre que tu ne puisses pas supprimer par "clic-droit sur LEGACY_SROSA > supprimer"; dès lors que tu sais y accéder.
Les sous-clés (via regedit):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Quand tu fais "clic-droit LEGACY_SROSA , puis clic sur "autorisations", as-tu bien le "contrôle total" activé ?
Ne "joue" pas trop là-dedans; fais plutôt ceci pour commencer; et s'il le faut, on reviendra au registre ultérieurement:
Relance Elibagla (post # 42) ==> Tu copies et colles le rapport sur le forum ...
... suivi de ComBofix comme ceci:
• Désinstalle ComboFix (si tu as une ancienne version sur ton PC ) comme ceci:
-Supprime le dossier Qoobox. (il est à la racine de ton disque dur c:\)
-Supprime tous les rapports situés. (C:\ComboFix-quarantined-files.txt ; C:\ComboFix.txt ; C:\ComboFix2.txt ; C:\ComboFix3.txt ... ; C:\ComboFix-Do.txt)
-Supprime l'application téléchargée. (ComboFix.exe)
• Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan ==> patienter (± 40 étapes).
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum
Bon dimanche
Al.
Allo?
Pas de nouvelle = PC bloqué ?
C'est bizarre que tu ne puisses pas supprimer par "clic-droit sur LEGACY_SROSA > supprimer"; dès lors que tu sais y accéder.
Les sous-clés (via regedit):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Quand tu fais "clic-droit LEGACY_SROSA , puis clic sur "autorisations", as-tu bien le "contrôle total" activé ?
Ne "joue" pas trop là-dedans; fais plutôt ceci pour commencer; et s'il le faut, on reviendra au registre ultérieurement:
Relance Elibagla (post # 42) ==> Tu copies et colles le rapport sur le forum ...
... suivi de ComBofix comme ceci:
• Désinstalle ComboFix (si tu as une ancienne version sur ton PC ) comme ceci:
-Supprime le dossier Qoobox. (il est à la racine de ton disque dur c:\)
-Supprime tous les rapports situés. (C:\ComboFix-quarantined-files.txt ; C:\ComboFix.txt ; C:\ComboFix2.txt ; C:\ComboFix3.txt ... ; C:\ComboFix-Do.txt)
-Supprime l'application téléchargée. (ComboFix.exe)
• Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan ==> patienter (± 40 étapes).
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum
Bon dimanche
Al.
Bonjour Al
Non le PC N'est pas bloqué.
J'ai refait deux fois ELIBAGLA.
Rapport :
Sat Nov 24 19:45:08 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
Sat Nov 24 19:45:32 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP401\A0230553.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP401\A0230554.SYS --> Eliminado Bagle (rootkit)
Nº Total de Directorios: 19686
Nº Total de Ficheros: 248838
Nº de Ficheros Analizados: 17061
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Sun Nov 25 13:14:35 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Sun Nov 25 13:14:46 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 19527
Nº Total de Ficheros: 243364
Nº de Ficheros Analizados: 15814
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
-------------------------------------------------------------------------------
J'ai fait aussi mwav.exe. Le rapport en copier coller n'a pas fonctionné en mode sans échec. J'ai fait une capture d'écran concernant les virus. Il y en avait deux dans la quarantaine norton que j'ai écrasés.
Les autres :
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
C:\WINDOWS\Connection Wizard\IEXPLORE.EXE infected by "Backdoor.Win32.Rukap.gen" Virus. Action Taken: File Renamed.
C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
Je vais faire ce que tu as dit dans ton dernier message.
@+
Bon dimanche et merci de ta patience.
Non le PC N'est pas bloqué.
J'ai refait deux fois ELIBAGLA.
Rapport :
Sat Nov 24 19:45:08 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"
Sat Nov 24 19:45:32 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP401\A0230553.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP401\A0230554.SYS --> Eliminado Bagle (rootkit)
Nº Total de Directorios: 19686
Nº Total de Ficheros: 248838
Nº de Ficheros Analizados: 17061
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2
Sun Nov 25 13:14:35 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Sun Nov 25 13:14:46 2007
EliBagle v10.73 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 19527
Nº Total de Ficheros: 243364
Nº de Ficheros Analizados: 15814
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
-------------------------------------------------------------------------------
J'ai fait aussi mwav.exe. Le rapport en copier coller n'a pas fonctionné en mode sans échec. J'ai fait une capture d'écran concernant les virus. Il y en avait deux dans la quarantaine norton que j'ai écrasés.
Les autres :
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
C:\WINDOWS\Connection Wizard\IEXPLORE.EXE infected by "Backdoor.Win32.Rukap.gen" Virus. Action Taken: File Renamed.
C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
Je vais faire ce que tu as dit dans ton dernier message.
@+
Bon dimanche et merci de ta patience.
ComboFix 07-11-19.3 - MELANIE 2007-11-25 14:45:31.1 - NTFSx86
Running from: C:\Downloads\Programs\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\boot.ini
C:\WINDOWS\system32\MabryObj.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_IPRIP
-------\LEGACY_SROSA
-------\nm
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
.
2007-11-24 20:40 <REP> d-------- C:\Downloads
2007-11-24 20:40 <REP> d-------- C:\Bases
2007-11-24 20:38 <REP> d-------- C:\Kaspersky
2007-11-24 18:54 <REP> d-------- C:\WINDOWS\TITINE
2007-11-21 18:32 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-11-20 18:25 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-11-19 17:00 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\AnBSoft
2007-11-18 10:37 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\AntsSoft
2007-11-18 09:48 286,720 --a------ C:\WINDOWS\iun507.exe
2007-11-16 09:21 <REP> d-------- C:\WINDOWS\524228C9826F4B589E474F2E5C7E9F45.TMP
2007-11-16 08:31 <REP> d-------- C:\Program Files\TechSmith
2007-11-16 08:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TechSmith
2007-11-13 10:10 <REP> d-------- C:\Program Files\IDA
2007-11-13 10:10 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\Internet Download Accelerator
2007-11-13 08:55 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\IDM
2007-11-08 19:06 <REP> d-------- C:\Program Files\PowerPlugs
2007-11-08 19:06 278,528 --a------ C:\WINDOWS\system32\CGPower3DUtilityFx.dll
2007-11-08 19:06 262,144 --a------ C:\WINDOWS\system32\STARTUP.dll
2007-11-08 19:06 114,688 --a------ C:\WINDOWS\system32\RemovePresFromTemp.dll
2007-11-04 20:37 <REP> d-------- C:\Program Files\Electric Rain
2007-11-03 11:08 <REP> d-------- C:\Plugins
2007-10-31 18:42 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\Media Player Classic
2007-10-31 18:41 <REP> d-------- C:\Program Files\QuickTime Alternative
2007-10-31 18:41 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-10-31 18:41 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-10-30 18:44 165,888 --a------ C:\WINDOWS\Ckconfig.exe
2007-10-30 18:44 27,648 -ra------ C:\WINDOWS\Setup_ck.exe
2007-10-30 18:44 18,432 --a------ C:\WINDOWS\Setup_ck.dll
2007-10-30 18:44 11,776 --a------ C:\WINDOWS\Ckrfresh.exe
2007-10-28 08:01 <REP> d-------- C:\Program Files\Panda Security
2007-10-26 17:35 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2007-10-26 17:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-26 17:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-26 17:35 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-10-26 17:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2007-10-25 16:49 <REP> d-------- C:\WINDOWS\AU_Temp
2007-10-25 09:21 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\StarOffice8
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-24 17:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-11-21 19:34 --------- d-----w C:\Program Files\a-squared Anti-Malware
2007-11-21 18:36 --------- d-----w C:\Program Files\Fichiers communs\AOL
2007-11-21 07:56 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-11-21 07:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-11-21 07:01 --------- d-----w C:\Program Files\Symantec
2007-11-21 07:00 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\SolidDocuments
2007-11-20 21:09 --------- d-----w C:\Program Files\Anti-Trojan-55
2007-11-20 19:01 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Application Data\SolidDocuments
2007-11-20 17:23 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-11-19 15:08 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-17 16:27 --------- d-----w C:\Program Files\Jasc Software Inc
2007-11-13 09:04 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\DMCache
2007-11-08 19:25 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\Ulead Systems
2007-11-08 19:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-08 19:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems
2007-11-04 20:54 --------- d-----w C:\Program Files\Google
2007-11-04 20:44 --------- d-----w C:\Program Files\Fichiers communs\LightScribe
2007-11-04 20:18 --------- d-----w C:\Program Files\Bonjour
2007-11-04 20:17 --------- d-----w C:\Program Files\AOL 9.0
2007-11-04 20:13 --------- d-----w C:\Program Files\7-Zip
2007-10-31 17:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-31 17:39 --------- d-----w C:\Program Files\QuickTime
2007-10-28 06:59 --------- d-----w C:\Program Files\VirtualDub
2007-10-26 18:45 10,344 ----a-w C:\WINDOWS\system32\drivers\symlcbrd.sys
2007-10-25 18:55 --------- d-----w C:\Program Files\Power IE
2007-10-25 15:57 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2007-10-25 15:57 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2007-10-25 15:57 267,845 ----a-w C:\WINDOWS\tsc.exe
2007-10-25 15:57 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2007-10-23 08:39 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\Canon
2007-10-23 07:30 --------- d-----w C:\Program Files\Java
2007-10-04 06:41 --------- d-----w C:\Program Files\SiSoftware
2007-10-03 16:53 --------- d-----w C:\Program Files\Fichiers communs\SourceTec
2007-10-02 18:35 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\AquaSoft
2007-08-27 16:31 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2007-08-27 16:31 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2007-08-27 16:31 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2007-07-05 16:14 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-03-29 23:04 49,152 ----a-w C:\Program Files\Fichiers communs\tx11_gif.flt
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 17:05]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 15:10]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 07:27]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-08-24 08:40]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2007-06-21 11:01]
"OpwareSE2"="C:\UTILITAIRES\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 11:00]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 16:49]
"HostManager"="C:\Program Files\Fichiers communs\AOL\1169743433\ee\AOLSoftware.exe" [2006-11-17 14:16]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-04-23 23:10]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40]
"Adobe Photo Downloader"="C:\utilitaires\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-09 00:18]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys
R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
R3 CVIAAUD;NEC VIA 3D Environmental Audio;C:\WINDOWS\system32\drivers\cviaaud.sys
R3 CVIAHALA;CVIAHALA;C:\WINDOWS\system32\drivers\cviahal.sys
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
R3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys
R3 SISNPF;SIS Netgroup Packet Filter;C:\WINDOWS\system32\drivers\SISNPF.sys
S2 ousbehci;%OWC_USBEHCD.DeviceDesc%;C:\WINDOWS\system32\Drivers\ousbehci.sys
S3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\C:\DOCUME~1\MELANIE\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys
S3 fsbl;F-Secure BlackLight Engine Driver;\??\C:\DOCUME~1\MELANIE\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsbldrv.sys
S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys
S3 RTL8187B;TRENDnet TEW-424UB Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys
S3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ec1f86e-2b8c-11dc-a857-000b6ba0352e}]
\Shell\AutoRun\command - F:\setupSNK.exe
*Newly Created Service* - ATWPKT2
*Newly Created Service* - SISNPF
.
**************************************************************************
catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 15:15:17
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-11-25 15:20:08 - machine was rebooted
.
--- E O F ---
______________________________________________________________________________________________
et ci-dessous les fichiers en quarantaine
2002-05-15 13:21 83656 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\MabryObj.dll.vir
2007-11-24 17:45 340 --a------ C:\Qoobox\Quarantine\C\WINDOWS\BOOT.INI.vir
2007-11-25 14:53 1134 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_SROSA.reg.dat
2007-11-25 14:53 352 --a------ C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.dat
2007-11-25 14:53 796 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_IPRIP.reg.dat
Apparemment il y avait encore de sales bestioles !!!
A chaque manipulation que tu me proposes, il trouve de nouveaux trucs. Les antivirus laissent passer autant de virus ?
à la prochaine
AM
Running from: C:\Downloads\Programs\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\boot.ini
C:\WINDOWS\system32\MabryObj.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_IPRIP
-------\LEGACY_SROSA
-------\nm
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
.
2007-11-24 20:40 <REP> d-------- C:\Downloads
2007-11-24 20:40 <REP> d-------- C:\Bases
2007-11-24 20:38 <REP> d-------- C:\Kaspersky
2007-11-24 18:54 <REP> d-------- C:\WINDOWS\TITINE
2007-11-21 18:32 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-11-20 18:25 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-11-19 17:00 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\AnBSoft
2007-11-18 10:37 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\AntsSoft
2007-11-18 09:48 286,720 --a------ C:\WINDOWS\iun507.exe
2007-11-16 09:21 <REP> d-------- C:\WINDOWS\524228C9826F4B589E474F2E5C7E9F45.TMP
2007-11-16 08:31 <REP> d-------- C:\Program Files\TechSmith
2007-11-16 08:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TechSmith
2007-11-13 10:10 <REP> d-------- C:\Program Files\IDA
2007-11-13 10:10 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\Internet Download Accelerator
2007-11-13 08:55 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\IDM
2007-11-08 19:06 <REP> d-------- C:\Program Files\PowerPlugs
2007-11-08 19:06 278,528 --a------ C:\WINDOWS\system32\CGPower3DUtilityFx.dll
2007-11-08 19:06 262,144 --a------ C:\WINDOWS\system32\STARTUP.dll
2007-11-08 19:06 114,688 --a------ C:\WINDOWS\system32\RemovePresFromTemp.dll
2007-11-04 20:37 <REP> d-------- C:\Program Files\Electric Rain
2007-11-03 11:08 <REP> d-------- C:\Plugins
2007-10-31 18:42 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\Media Player Classic
2007-10-31 18:41 <REP> d-------- C:\Program Files\QuickTime Alternative
2007-10-31 18:41 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-10-31 18:41 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-10-30 18:44 165,888 --a------ C:\WINDOWS\Ckconfig.exe
2007-10-30 18:44 27,648 -ra------ C:\WINDOWS\Setup_ck.exe
2007-10-30 18:44 18,432 --a------ C:\WINDOWS\Setup_ck.dll
2007-10-30 18:44 11,776 --a------ C:\WINDOWS\Ckrfresh.exe
2007-10-28 08:01 <REP> d-------- C:\Program Files\Panda Security
2007-10-26 17:35 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2007-10-26 17:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-26 17:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-26 17:35 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-10-26 17:35 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-10-26 17:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2007-10-25 16:49 <REP> d-------- C:\WINDOWS\AU_Temp
2007-10-25 09:21 <REP> d-------- C:\Documents and Settings\MELANIE\Application Data\StarOffice8
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-24 17:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-11-21 19:34 --------- d-----w C:\Program Files\a-squared Anti-Malware
2007-11-21 18:36 --------- d-----w C:\Program Files\Fichiers communs\AOL
2007-11-21 07:56 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-11-21 07:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-11-21 07:01 --------- d-----w C:\Program Files\Symantec
2007-11-21 07:00 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\SolidDocuments
2007-11-20 21:09 --------- d-----w C:\Program Files\Anti-Trojan-55
2007-11-20 19:01 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Application Data\SolidDocuments
2007-11-20 17:23 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-11-19 15:08 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-17 16:27 --------- d-----w C:\Program Files\Jasc Software Inc
2007-11-13 09:04 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\DMCache
2007-11-08 19:25 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\Ulead Systems
2007-11-08 19:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-08 19:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems
2007-11-04 20:54 --------- d-----w C:\Program Files\Google
2007-11-04 20:44 --------- d-----w C:\Program Files\Fichiers communs\LightScribe
2007-11-04 20:18 --------- d-----w C:\Program Files\Bonjour
2007-11-04 20:17 --------- d-----w C:\Program Files\AOL 9.0
2007-11-04 20:13 --------- d-----w C:\Program Files\7-Zip
2007-10-31 17:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-31 17:39 --------- d-----w C:\Program Files\QuickTime
2007-10-28 06:59 --------- d-----w C:\Program Files\VirtualDub
2007-10-26 18:45 10,344 ----a-w C:\WINDOWS\system32\drivers\symlcbrd.sys
2007-10-25 18:55 --------- d-----w C:\Program Files\Power IE
2007-10-25 15:57 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2007-10-25 15:57 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2007-10-25 15:57 267,845 ----a-w C:\WINDOWS\tsc.exe
2007-10-25 15:57 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2007-10-23 08:39 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\Canon
2007-10-23 07:30 --------- d-----w C:\Program Files\Java
2007-10-04 06:41 --------- d-----w C:\Program Files\SiSoftware
2007-10-03 16:53 --------- d-----w C:\Program Files\Fichiers communs\SourceTec
2007-10-02 18:35 --------- d-----w C:\Documents and Settings\MELANIE\Application Data\AquaSoft
2007-08-27 16:31 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2007-08-27 16:31 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2007-08-27 16:31 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2007-07-05 16:14 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-03-29 23:04 49,152 ----a-w C:\Program Files\Fichiers communs\tx11_gif.flt
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 17:05]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 15:10]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 07:27]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-08-24 08:40]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2007-06-21 11:01]
"OpwareSE2"="C:\UTILITAIRES\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 11:00]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 16:49]
"HostManager"="C:\Program Files\Fichiers communs\AOL\1169743433\ee\AOLSoftware.exe" [2006-11-17 14:16]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-04-23 23:10]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40]
"Adobe Photo Downloader"="C:\utilitaires\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-09 00:18]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys
R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
R3 CVIAAUD;NEC VIA 3D Environmental Audio;C:\WINDOWS\system32\drivers\cviaaud.sys
R3 CVIAHALA;CVIAHALA;C:\WINDOWS\system32\drivers\cviahal.sys
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
R3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys
R3 SISNPF;SIS Netgroup Packet Filter;C:\WINDOWS\system32\drivers\SISNPF.sys
S2 ousbehci;%OWC_USBEHCD.DeviceDesc%;C:\WINDOWS\system32\Drivers\ousbehci.sys
S3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\system32\DRIVERS\alcan5ln.sys
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\C:\DOCUME~1\MELANIE\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys
S3 fsbl;F-Secure BlackLight Engine Driver;\??\C:\DOCUME~1\MELANIE\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsbldrv.sys
S3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\system32\DRIVERS\ousb2hub.sys
S3 RTL8187B;TRENDnet TEW-424UB Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys
S3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ec1f86e-2b8c-11dc-a857-000b6ba0352e}]
\Shell\AutoRun\command - F:\setupSNK.exe
*Newly Created Service* - ATWPKT2
*Newly Created Service* - SISNPF
.
**************************************************************************
catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 15:15:17
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-11-25 15:20:08 - machine was rebooted
.
--- E O F ---
______________________________________________________________________________________________
et ci-dessous les fichiers en quarantaine
2002-05-15 13:21 83656 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\MabryObj.dll.vir
2007-11-24 17:45 340 --a------ C:\Qoobox\Quarantine\C\WINDOWS\BOOT.INI.vir
2007-11-25 14:53 1134 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_SROSA.reg.dat
2007-11-25 14:53 352 --a------ C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.dat
2007-11-25 14:53 796 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_IPRIP.reg.dat
Apparemment il y avait encore de sales bestioles !!!
A chaque manipulation que tu me proposes, il trouve de nouveaux trucs. Les antivirus laissent passer autant de virus ?
à la prochaine
AM
Pour murphinette ==> il y avait erreur; pardon. je suis alité.
Oui, fais le ComboFix
Explications:
A)-
- C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
- C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
Ce n'est rien; c'est un faux-positif relatif à l'outil dénommé "clean" de Malekal_morte.
Tu peux supprimer cet outil "clean" et ses composants.
B)-
- C:\WINDOWS\Connection Wizard\IEXPLORE.EXE infected by "Backdoor.Win32.Rukap.gen" Virus. Action Taken: File Renamed.
Je ne vois pas bien ce qui a provoqué cela (Connection Wizard ? ==> lire le point C)- ci-dessous);
... mais IEXPLORE.EXE infected a été renommé.
Il faudrait que tu puisses le retrouver (ce fichier renommé)
==> cherche IEXPLORE.EXE.ren, ou IEXPLORE.EXE.vir, ou IEXPLORE.OXE
... qui devrait se localiser en C:\WINDOWS\Connection Wizard\.
Si tu trouves, tu supprimes.
C)-
As-tu la certitude que ton disque amovible était propre ?
Sinon, je te conseillerais de faire ceci ultérieurement :
il existe un autre outil de désinfection très performant: Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Il fonctionne comme ceci:
Double clic sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecter clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquer sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
Appuyez sur OK, pour faire réapparaitre le bureau.
Al.
Oui, fais le ComboFix
Explications:
A)-
- C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
- C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill.a. No Action Taken.
Ce n'est rien; c'est un faux-positif relatif à l'outil dénommé "clean" de Malekal_morte.
Tu peux supprimer cet outil "clean" et ses composants.
B)-
- C:\WINDOWS\Connection Wizard\IEXPLORE.EXE infected by "Backdoor.Win32.Rukap.gen" Virus. Action Taken: File Renamed.
Je ne vois pas bien ce qui a provoqué cela (Connection Wizard ? ==> lire le point C)- ci-dessous);
... mais IEXPLORE.EXE infected a été renommé.
Il faudrait que tu puisses le retrouver (ce fichier renommé)
==> cherche IEXPLORE.EXE.ren, ou IEXPLORE.EXE.vir, ou IEXPLORE.OXE
... qui devrait se localiser en C:\WINDOWS\Connection Wizard\.
Si tu trouves, tu supprimes.
C)-
As-tu la certitude que ton disque amovible était propre ?
Sinon, je te conseillerais de faire ceci ultérieurement :
il existe un autre outil de désinfection très performant: Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Il fonctionne comme ceci:
Double clic sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecter clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquer sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
Appuyez sur OK, pour faire réapparaitre le bureau.
Al.
Afideg, la réponse ci-dessus est pour moi ? en A et B oui mais
TU DIS
Coucou Green Day,
Merci samos,
Oui, fais le ComboFix
Je t'ai mis la réponse de combofix avec la quarantaine.
AM
TU DIS
Coucou Green Day,
Merci samos,
Oui, fais le ComboFix
Je t'ai mis la réponse de combofix avec la quarantaine.
AM
Désolé pour cette erreur d'adressage.
C'est corrigé.
Essaie de faire le rapport de l'analyse en cours par F-Secure annoncé au post # 50.
Tu dois te rendre compte que ton PC était bien infecté.
Al
C'est corrigé.
Essaie de faire le rapport de l'analyse en cours par F-Secure annoncé au post # 50.
Tu dois te rendre compte que ton PC était bien infecté.
Al
Merci Al
dans C:\WINDOWS\Connection Wizard\ j'ai iexplore.exe.mwt apparemment créé en juillet 2006.
Mon PC était vraiment infecté. Je ne comprends pas car j'avais Norton, et je fais de temps en temps des scan en ligne.
Il y a à peu près une semaine, j'avais des messages norton au lancement. Je n'y ai pas prêté assez attention car l'icone ne s'affichait plus et quand j'ai voulu le lancer, je n'avais plus le fichier.exe. J'ai donc installé Avast et je voyais les fichiers exe s'effacer dans les secondes qui suivaient.
Je vais refaire f-secure et t'indiquerai la suite. Il en a pour un moment.
Merci beaucoup tu as passé ton temps à m'aider à réparer sinon j'en serais encore en écran noir !
Bonne fin de journée et bonne semaine
AM
dans C:\WINDOWS\Connection Wizard\ j'ai iexplore.exe.mwt apparemment créé en juillet 2006.
Mon PC était vraiment infecté. Je ne comprends pas car j'avais Norton, et je fais de temps en temps des scan en ligne.
Il y a à peu près une semaine, j'avais des messages norton au lancement. Je n'y ai pas prêté assez attention car l'icone ne s'affichait plus et quand j'ai voulu le lancer, je n'avais plus le fichier.exe. J'ai donc installé Avast et je voyais les fichiers exe s'effacer dans les secondes qui suivaient.
Je vais refaire f-secure et t'indiquerai la suite. Il en a pour un moment.
Merci beaucoup tu as passé ton temps à m'aider à réparer sinon j'en serais encore en écran noir !
Bonne fin de journée et bonne semaine
AM
Bonjour AL
Je te mets le rapport F-Secure. Il a encore trouvé ds trucs.
Par contre, il met :
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
Je ne trouve pas ces fichiers (même en affichant les fichiers cachés)
Scanning Report
Sunday, November 25, 2007 18:34:05 - 22:56:01
Computer name: SNOOPY2
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
--------------------------------------------------------------------------------
Result: 13 malware found
Hupigon.gen156 (virus)
C:\UTILITAIRES\SWFTEXT\SWFTEXT.EXE (Submitted)
C:\UTILITAIRES\SWFTEXT\ANTSSOFT SWF TEXT 1.3\CRACK\SWFTEXT.EXE (Submitted)
Surfairy (spyware)
System (Disinfected)
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System
System
System
System
System
System
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 112520
System: 5166
Not scanned: 14
Actions:
Disinfected: 2
Renamed: 0
Deleted: 0
None: 11
Submitted: 2
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{82BF61B2-A8A3-4653-9F47-8AAAE8877B19}.BIN
C:\WINDOWS\$NTUNINSTALLQ315000$\NETSETUP.EXE
C:\WINDOWS\$NTUNINSTALLQ315000$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308678$\MSOBMAIN.DLL
C:\WINDOWS\$NTUNINSTALLQ308678$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308677$\USERENV.DLL
C:\WINDOWS\$NTUNINSTALLQ308677$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308402$\SPCMDCON.SYS
C:\WINDOWS\$NTUNINSTALLQ308402$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308387$\SPUNINST\SPUNINST.EXE
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-11-23
F-Secure AVP: 7.0.171, 2007-11-24
F-Secure Orion: 1.2.37, 2007-11-23
F-Secure Blacklight: 1.0.64
F-Secure Draco: 1.0.35, 0597-150-72
F-Secure Pegasus: 1.19.0, 2007-10-22
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Use Advanced heuristics
Bonne journée
AM
Je te mets le rapport F-Secure. Il a encore trouvé ds trucs.
Par contre, il met :
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
Je ne trouve pas ces fichiers (même en affichant les fichiers cachés)
Scanning Report
Sunday, November 25, 2007 18:34:05 - 22:56:01
Computer name: SNOOPY2
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
--------------------------------------------------------------------------------
Result: 13 malware found
Hupigon.gen156 (virus)
C:\UTILITAIRES\SWFTEXT\SWFTEXT.EXE (Submitted)
C:\UTILITAIRES\SWFTEXT\ANTSSOFT SWF TEXT 1.3\CRACK\SWFTEXT.EXE (Submitted)
Surfairy (spyware)
System (Disinfected)
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System
System
System
System
System
System
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 112520
System: 5166
Not scanned: 14
Actions:
Disinfected: 2
Renamed: 0
Deleted: 0
None: 11
Submitted: 2
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{82BF61B2-A8A3-4653-9F47-8AAAE8877B19}.BIN
C:\WINDOWS\$NTUNINSTALLQ315000$\NETSETUP.EXE
C:\WINDOWS\$NTUNINSTALLQ315000$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308678$\MSOBMAIN.DLL
C:\WINDOWS\$NTUNINSTALLQ308678$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308677$\USERENV.DLL
C:\WINDOWS\$NTUNINSTALLQ308677$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308402$\SPCMDCON.SYS
C:\WINDOWS\$NTUNINSTALLQ308402$\SPUNINST\SPUNINST.EXE
C:\WINDOWS\$NTUNINSTALLQ308387$\SPUNINST\SPUNINST.EXE
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-11-23
F-Secure AVP: 7.0.171, 2007-11-24
F-Secure Orion: 1.2.37, 2007-11-23
F-Secure Blacklight: 1.0.64
F-Secure Draco: 1.0.35, 0597-150-72
F-Secure Pegasus: 1.19.0, 2007-10-22
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Use Advanced heuristics
Bonne journée
AM
Bonjour
A)- Je ne trouve pas le rapport annoncé; sauf un morceau vide de détails ( je croyais avoir la liste de éléments infectés).
Ce n'est rien, on va faire comme ceci:
1- Supprime ces deux dossiers :
C:\WINDOWS\SOFTWAREDISTRIBUTION
C:\UTILITAIRES\SWFTEXT ==> lequel est cracké !!
2- Relance une analyse complète.
3- Poste-moi le rapport complet SVP.
Explication: ... je ne peux m'empêcher =>
Fais gaffe avec l'utilisation des logiciels P2P et des CRACKS;
... ce sont les principaux vecteurs de l'infection dont a été victime (et est toujours victime) ton PC!
Pour t'en convaincre, lis ces deux topics très clairs:
• le premier est de Malekal_morte et concerne les cracks
=> < http://forum.malekal.com/ftopic893.php >
•- le second de Tesgaz concerne le P2P en général
=> https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Les infections véhiculées pas le p2p sont une menace réelle!!
B)- Ne touche pas à ça C:\HIBERFIL.SYS ou C:\PAGEFILE.SYS sans réfléchir ou questionner mon copain Google.
Ce n'est pas méchant; mais c'est plus facile pour moi de le dire ainsi. Il y a trop à écrire là-dessus.
•- C:\HIBERFIL.SYS
Sous Windows XP un fichier de taille importante (égale à votre mémoire vive), nommé hiberfil.sys, se trouve à la racine de votre disque c:.
Ce fichier permet de mettre en état de veille prolongée le système et ainsi d'accélérer les redémarrages de la machine.
•- C:\PAGEFILE.SYS
C'est la mémoire virtuelle.
Lis ceci: http://www.aidewindows.net/entretien1.php
Al.
A)- Je ne trouve pas le rapport annoncé; sauf un morceau vide de détails ( je croyais avoir la liste de éléments infectés).
Ce n'est rien, on va faire comme ceci:
1- Supprime ces deux dossiers :
C:\WINDOWS\SOFTWAREDISTRIBUTION
C:\UTILITAIRES\SWFTEXT ==> lequel est cracké !!
2- Relance une analyse complète.
3- Poste-moi le rapport complet SVP.
Explication: ... je ne peux m'empêcher =>
Fais gaffe avec l'utilisation des logiciels P2P et des CRACKS;
... ce sont les principaux vecteurs de l'infection dont a été victime (et est toujours victime) ton PC!
Pour t'en convaincre, lis ces deux topics très clairs:
• le premier est de Malekal_morte et concerne les cracks
=> < http://forum.malekal.com/ftopic893.php >
•- le second de Tesgaz concerne le P2P en général
=> https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Les infections véhiculées pas le p2p sont une menace réelle!!
B)- Ne touche pas à ça C:\HIBERFIL.SYS ou C:\PAGEFILE.SYS sans réfléchir ou questionner mon copain Google.
Ce n'est pas méchant; mais c'est plus facile pour moi de le dire ainsi. Il y a trop à écrire là-dessus.
•- C:\HIBERFIL.SYS
Sous Windows XP un fichier de taille importante (égale à votre mémoire vive), nommé hiberfil.sys, se trouve à la racine de votre disque c:.
Ce fichier permet de mettre en état de veille prolongée le système et ainsi d'accélérer les redémarrages de la machine.
•- C:\PAGEFILE.SYS
C'est la mémoire virtuelle.
Lis ceci: http://www.aidewindows.net/entretien1.php
Al.