contaminationRésolu/Fermé

Question

Bonjour à tous,
Voici les faits :

Hier j'ai eu une alerte de bitdefender me disant qu'il avait bloqué quelque chose. Ok je dois dire que je ne me souviens pas ce qu'il m'a annoncé.
Aujourd'hui, J'ai assisté en direct au redémarrage de mon ordinateur sans que je lui demande rien.

Voici où j'en suis.
Sur ce PC contaminé je n'ai plus d'accès extérieur vers le web, plus d'antivirus fonctionnel, impossibilité de démarer en mode sans échec, impossibilité de lancer hijackthis (pas un logiciel win32), spyboot même annonce de non compatibilité, bref je ne sais plus quoi faire d'où mon message d'aide.
La config que j'ai est un PC windows XP régulièrement mis à jour, IE 8.0

Merci pour vos réponses.

Configuration: Windows XP / Internet Explorer 8.0

i am toto · Answer

Et bien ! Bon euhh si tu a un cd de libre et de vierge et de réinscriptible , tu telecahge sa : 

https://www.clubic.com/telecharger-fiche287092-bitdefender-rescue-cd.html

et tu suis les info marqué sur la page.

+ si tu veux d'autre choses : va sur mon site catérogie virus -secu : http://electroword.e-monsite.com/rubrique,liste-telechagement-securite,459238.html

dédétraqué · Answer

Salut cretin31


Télécharge FindyKill (de El Desaparecido) sur le bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
http://findykill.changelog.fr/Setup.exe

Fais un clic droit sur ce lien ci haut, pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...

- Et choisi le bureau comme lieu d'enregistrement, double clique sur FindyKill.exe sur le bureau pour lancer l'installation

Branche tous tes supports amovibles (clefs USB, disque dur externe, carte flash etc..).


Double clique sur le raccourci de FindyKill sur le bureau.
Au menu principal, choisis l'option 1 (Recherche).

Poste le rapport a la fin de la recherche, le rapport ce trouve ici C:\FindyKill.txt


@++   :)

cretin31 · Answer

Déjà merci pour le soutien moral que représente vos réponses.
Alors j'ai commencé à graver ce que me propose I am toto et voici le rapport de fyk pour dédétraqué :


############################## | FindyKill V5.038 |

# User : Utilisateur (Administrateurs) # UTILISAT-B116E9
# Update on 15/03/2010 by El Desaparecido
# Start at: 15:53:05 | 17/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : BitDefender Antivirus 13.0.20 [ Enabled | Updated ]
# FW : BitDefender Pare-feu[ Enabled ]13.0.20

# C:\ # Disque fixe local # 74,5 Go (15,45 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 465,65 Go (307,43 Go free) [My Book] # FAT32
# F:\ # Disque fixe local # 298,09 Go (292,82 Go free) [Airbus A350] # NTFS
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe"  (2284)
"C:\Documents and Settings\Utilisateur\Application Data\m\flec006.exe"  (3816)
"C:\Documents and Settings\Utilisateur\Application Data\hidires\flec003.exe"  (3524)

################## | Eléments infectieux |

C:\WINDOWS\system32\srosa2.sys  
C:\WINDOWS\system32\wfsintwq.sys  
C:\Documents and Settings\Utilisateur\Application Data\drivers  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\403921.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\404375.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\404750.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\405406.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\405734.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\408000.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\408906.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\410187.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\410703.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\411171.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\416093.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\416406.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\416718.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\417031.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\417296.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\418031.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\418812.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\427406.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\428937.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\429765.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\430734.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\431515.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\431890.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\432312.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\432687.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\433140.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\434109.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\435390.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\435687.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\436062.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\436375.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\436687.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\437250.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\437875.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\438218.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\438531.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\438828.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\439078.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\440484.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\441875.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\442140.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\442421.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\442875.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\443312.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\443937.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\444562.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\444875.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\445187.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\445468.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\445750.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\446296.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\446750.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\448000.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\449046.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\449296.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\449531.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\450125.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\450437.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\450843.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\451140.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\451515.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\451796.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\452328.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\452843.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\453265.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\453765.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\454265.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\455656.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\456203.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\456765.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\457312.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\457921.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\458203.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\458640.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\458906.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\459140.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\downld\459484.exe  
C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe  
C:\Documents and Settings\Utilisateur\Application Data\hidires  
C:\Documents and Settings\Utilisateur\Application Data\hidires\config  
C:\Documents and Settings\Utilisateur\Application Data\hidires\config\preferences.ini  
C:\Documents and Settings\Utilisateur\Application Data\hidires\file.exe  
C:\Documents and Settings\Utilisateur\Application Data\hidires\flec003.exe  
C:\Documents and Settings\Utilisateur\Application Data\hidires\Incoming  
C:\Documents and Settings\Utilisateur\Application Data\hidires\lang  
C:\Documents and Settings\Utilisateur\Application Data\hidires
ames.txt  
C:\Documents and Settings\Utilisateur\Application Data\hidires\server.txt  
C:\Documents and Settings\Utilisateur\Application Data\hidires\skins  
C:\Documents and Settings\Utilisateur\Application Data\hidires\Temp  
C:\Documents and Settings\Utilisateur\Application Data\hidires\WDIR  
C:\Documents and Settings\Utilisateur\Application Data\hidires\WDIR\Clickatell Messenger-Pro 3.2.1.60.zip  
C:\Documents and Settings\Utilisateur\Application Data\hidires\WDIR\Close all Windows 1.3 [KeyGen].czip  
C:\Documents and Settings\Utilisateur\Application Data\hidires\WDIR\Close all Windows 1.3 [KeyGen].zip  
C:\Documents and Settings\Utilisateur\Application Data\hidires\WDIR\LocRepair 1.0.zip  
C:\Documents and Settings\Utilisateur\Application Data\hidires\webserver  
C:\Documents and Settings\Utilisateur\Application Data\m  
C:\Documents and Settings\Utilisateur\Application Data\m\data.oct  
C:\Documents and Settings\Utilisateur\Application Data\m\flec006.exe  
C:\Documents and Settings\Utilisateur\Application Data\m\list.oct  
C:\Documents and Settings\Utilisateur\Application Data\m\srvlist.oct  
C:\Documents and Settings\Utilisateur\Application Data\m\shared  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\310-025 Free Test Exam Questions 10.0.czip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\ActualHotel v2001.0 rev. 1.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Acute Softwares Timer 4.4 Build 263.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\AV Cataloger 2.0.268 RC1.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\avast! Antivirus 4 Professional Edition v4.8.1195 by Under SEH T3am.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Campaign Eckmuhl v1.09 [ENGLISH] No-CD Fixed EXE.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Church Treasurer v3.02d Incl Keygen by diGERATi.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Code Co-Op 3.3b (Serial).zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Combit CRM v2006 GERMAN by CYGNUS.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\DigiPhoto Gallery 2.22 (Serial).zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\ESRI Import for Rhino 1.0.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Evasion3D XDof v2.1 for Mental Ray by SCOTCH.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Extensis Mask Pro 1.0.1 for Mac.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\GetPDF Encryptor Decryptor 2.0.0.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\GraphicsGale v1.79 by Core.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\HTML Protect Center 1.0.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Icash v2.4 Incl Keygen by FRENCH-BS.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\InqScribe 2.0.5.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Instant Drive Access Pro 1.5 (Serial).zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Internet History Eraser 3.0.1.5 crack.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\KC Softwares KML v3.21.331 by ViRiLiTY.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\killer-anas Soft Vox v6.0 by tRUE.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\KillTask v3.3.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Pile Volume 1.6.1 (Serial).zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\S.T.A.L.K.E.R. MULTIPLAYER TOOL v1.0.10001 [BeD].zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\TurboCom 2.02 (Serial).zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Ultra PSP Movie Converter v1.6.2 by iNFECTED.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\UrSoft Startup Faster by BRD.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\Videocharge Professional v3.1.2.15 WinALL Cracked by ARN.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\ZipForge Component for Delphi 7 v2.69 Incl SourceCode by DVT.zip  
C:\Documents and Settings\Utilisateur\Application Data\m\shared\ZTreeWin 1.46s.zip  
C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\LFB7J295\mxd[1].jpg  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]  
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]  
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
[HKLM\SYSTEM\ControlSet001\Services\srosa]  
[HKLM\SYSTEM\ControlSet002\Services\srosa]  
[HKLM\SYSTEM\ControlSet003\Services\srosa]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
[HKCU\Software\bisoft]  
[HKCU\Software\MuleAppData]  
[HKCU\Software\WS4001]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\bisoft]  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\MuleAppData]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.038 ! |



Dois-je suivre les 2 procédures ou vous me dites messieurs (dames, demoiselles ?)

i am toto · Answer

Messieur pour moi ^^ . 

Donc je me rensaigne si il y'a a quelqu'quee chsoes pour ne pas arrivé au formatage. 

Mais comment a tu (avez vous ?) chopez tout ses virus ?*

Aussi je pense que suivre les deux procedeurs serait bien, car la.....j'ai des solutions !

cretin31 · Answer

Je ne cherche pas d'excuse, mais ma femme est en ce moment accro à la recherche de l'efficacité d'hadopi je crois, si cela peut t'aider pour savoir comment j'ai fait !!

i am toto · Answer

DOnc : virus beag :

https://www.commentcamarche.net/faq/9889-comment-supprimer-le-virus-beagle-bagle

+

 ficheir infecter , a la bourin je sais pas si on va les viré ? se serait :

C:\Documents and Settings\Utilisateur\Application Data\hidires

C:\Documents and Settings\Utilisateur\Application Data\m

+ a coup de cclener viré tout les historique internets. Pour les clés de registre  tout sup ???

dédétraqué · Answer

Salut cretin31


Sur le bureau, relance FindyKill en double-cliquant sur le raccourci. 
Au menu principal, choisis l'option 2 : (Suppression) 

Il y aura 2 redémarrages du PC. 
Laisse-le travailler jusqu'à l'apparition de : "Nettoyage effectué". 
Un rapport va s'ouvrir. Copie/colle-le dans ta réponse. 

PS : le rapport est aussi conservé à la racine du disque dur C:\FindyKill.txt.
	

@++    :)

Salut i am toto, merci de resté dans ton poste et ne plus intervenir

cretin31 · Answer

Bon, I am toto je te remercie pour ton intervention. Je vais suivre les instructions de dédétraqué... Pourquoi ? 

Pourquoi pas. 
Merci encore. 
Dédétraqué je fais ce que tu me proposes.

J'ai semble-t-il bitdefender qui étais dans le lecteur CD qui démarre je le stoppe ou je le laisse faire ?

dédétraqué · Answer

Salut cretin31 



Arrête le et passe a l'option 2 de FindyKill


@++   :)

cretin31 · Answer

Est-il normal qu'il bloque depuis 20 minutes sur un fichier ZIP ? en l'occurence il s'agit de myfaces-1.1.1-src.zip

Je laisse faire ou autre chose ?

Cretin31

dédétraqué · Answer

Salut cretin31


Arrête le, on va voir avec un autre outil :


Faire un clic droit sur ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom bibite.exe clique sur Enregistrer

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur bibite.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

cretin31 · Answer

Voici la partie 1 du combo fix :

ComboFix 10-04-15.05 - Utilisateur 17/04/2010  18:01:48.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.3574.3130 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\bib.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender Pare-feu *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-17 au 2010-04-17  ))))))))))))))))))))))))))))))))))))
.

2010-04-17 14:49 . 2010-04-17 14:49	110984	----a-w-	c:\windows\system32\drivers\bdfndisf.sys
2010-04-17 13:52 . 2010-04-17 15:43	--------	d-----w-	C:\FyK
2010-04-17 13:11 . 2010-04-17 13:11	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-04-17 13:11 . 2010-04-17 13:11	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-17 13:03 . 2010-04-17 12:47	401720	----a-w-	C:\merdehi.exe
2010-04-17 12:49 . 2010-04-17 12:28	16409960	----a-w-	C:\spybotsd162.exe
2010-04-17 12:48 . 2010-04-17 12:28	666192	----a-w-	C:\SpywareTerminatorSetup.exe
2010-04-06 08:53 . 2010-04-06 08:53	--------	d-----w-	c:\program files\iPod
2010-04-06 08:52 . 2010-04-06 08:54	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-06 08:47 . 2010-04-06 08:48	--------	d-----w-	c:\program files\QuickTime
2010-04-06 08:36 . 2010-04-06 08:36	--------	d-----w-	c:\program files\Bonjour
2010-04-06 08:31 . 2010-04-06 08:31	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-04-01 19:36 . 2010-04-01 19:47	--------	d-----w-	c:\documents and settings\Utilisateur\Local Settings\Application Data\Xmarks
2010-04-01 19:36 . 2010-04-01 19:36	--------	d-----w-	c:\program files\Xmarks
2010-03-24 17:53 . 2010-03-24 17:53	--------	d-----w-	c:\documents and settings\Utilisateur\Local Settings\Application Data\GAP-Diveplanner
2010-03-24 17:53 . 2010-03-24 17:53	--------	d-----w-	c:\documents and settings\Utilisateur\Local Settings\Application Data\GAP-Software
2010-03-24 17:52 . 2010-03-24 17:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\GAP-Diveplanner
2010-03-24 17:43 . 2010-03-24 17:43	--------	d-----w-	c:\program files\GAP-Software
2010-03-24 08:04 . 2010-03-24 18:17	952768	----a-w-	c:\documents and settings\All Users\Application Data\Adobe\Acrobat\9.3\ARM\28178\AdobeARM.exe
2010-03-24 08:04 . 2010-03-24 18:17	70584	----a-w-	c:\documents and settings\All Users\Application Data\Adobe\Acrobat\9.3\ARM\28178\AdobeExtractFiles.dll
2010-03-24 08:04 . 2010-03-24 18:17	326056	----a-w-	c:\documents and settings\All Users\Application Data\Adobe\Acrobat\9.3\ARM\28178\ReaderUpdater.exe
2010-03-24 08:04 . 2010-03-24 18:17	326056	----a-w-	c:\documents and settings\All Users\Application Data\Adobe\Acrobat\9.3\ARM\28178\AcrobatUpdater.exe
2010-03-21 18:54 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe

cretin31 · Answer

partie 3 :


(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"Xmarks"="c:\program files\Xmarks\IE Extension\xmarkssync.exe" [2009-11-12 1007616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-04-01 1123360]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-11-17 71152]
"EM_EXEC"="c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-09 28672]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"EEventManager"="c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-10-12 102400]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2009-12-22 611712]
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2010-04-03 38840]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2010-04-03 640440]
"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2002-07-22 577602]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-03-16 47392]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]

[HKLM\~\startupfolder\C:^Documents and Settings^Utilisateur^Menu Démarrer^Programmes^Démarrage^DeliveryManager.lnk]
path=c:\documents and settings\Utilisateur\Menu Démarrer\Programmes\Démarrage\DeliveryManager.lnk
backup=c:\windows\pss\DeliveryManager.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-08-03 10:51	202024	----a-w-	c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-03-25 23:10	142120	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-08-08 07:25	1828136	----a-w-	c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe"=
"c:\Program Files\Sonos\sonos.exe"=
"c:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe"=
"c:\Program Files\TeamViewer\Version5\TeamViewer.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server

R2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [01/04/2009 11:25 83208]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [29/06/2009 14:12 153448]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15/08/2008 05:46 288112]
S3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [25/06/2009 16:04 183880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contenu du dossier 'Tâches planifiées'

2010-04-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-04-17 c:\windows\Tasks\User_Feed_Synchronization-{DB3E36F2-532A-4D62-8643-4561C0FF2CF7}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.

cretin31 · Answer

partie 4 :

------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/advanced_search?hl=fr
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Google Update - c:\documents and settings\Utilisateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
HKCU-Run-flec003.exe - c:\documents and settings\Utilisateur\Application Data\hidires\flec003.exe
MSConfigStartUp-AppleSyncNotifier - c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
AddRemove-HijackThis - c:\docume~1\UTILIS~1\LOCALS~1\Temp\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 18:09
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(672)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(492)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-04-17  18:15:34
ComboFix-quarantined-files.txt  2010-04-17 16:15

Avant-CF: 16 481 751 040 octets libres
Après-CF: 19 798 065 152 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 0DA506B10A73494DCE6AC34A5863775A


Voilà tout !

dédétraqué · Answer

Salut cretin31


Faire un scan de ce fichier merdehi.exe ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\merdehi.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++   :)

cretin31 · Answer

C'est le nom que j'ai donné à HiJackThis.

Désolé

dédétraqué · Answer

Salut cretin31 


OK c'est un beau nom lol  :D

Refais l'option 1 de FindyKill et poste le rapport


@++    :)

cretin31 · Answer

C'est un joli nom comme bibite lol

Voici le rapport :


############################## | FindyKill V5.038 |

# User : Utilisateur (Administrateurs) # UTILISAT-B116E9
# Update on 15/03/2010 by El Desaparecido
# Start at: 19:24:57 | 17/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : BitDefender Antivirus 13.0.20 [ (!) Disabled | Updated ]
# FW : BitDefender Pare-feu[ (!) Disabled ]13.0.20

# C:\ # Disque fixe local # 74,5 Go (18,57 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 465,65 Go (307,43 Go free) [My Book] # FAT32
# F:\ # Disque fixe local # 298,09 Go (296,54 Go free) [Airbus A350] # NTFS

################## | Eléments infectieux |


################## | Registre |

[HKCU\Software\WS4001]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1343024091-1500820517-1606980848-1003\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.038 ! |

dédétraqué · Answer

Salut cretin31 


OK reste encore des choses dans le registre, passe a l'option 2 et poste le rapport.


 Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt

@++  :)

cretin31 · Answer

Voici l'un des rapports :
https://www.cjoint.com/?ert0iqYYiw

le 2ème rapport :
https://www.cjoint.com/?ert1cMwXVx

Merci pour ton temps !

dédétraqué · Answer

Salut cretin31 


Pendant que j'analyse tout ça, na pas oublier l'option 2 de FindyKill et poste le rapport.



@++    :)

cretin31 · Answer

Salut dédétraqué,

voici le rapport généré enfin !


############################## | FindyKill V5.038 |

# User : Utilisateur (Administrateurs) # UTILISAT-B116E9
# Update on 15/03/2010 by El Desaparecido
# Start at: 20:02:20 | 17/04/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#               Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : BitDefender Antivirus 13.0.20 [ (!) Disabled | Updated ]
# FW : BitDefender Pare-feu[ (!) Disabled ]13.0.20

# C:\ # Disque fixe local # 74,5 Go (18,59 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 465,65 Go (307,43 Go free) [My Book] # FAT32
# F:\ # Disque fixe local # 298,09 Go (296,54 Go free) [Airbus A350] # NTFS

################## | Eléments infectieux |


################## | MD5 ... |


################## | CRC32 ... |


################## | Registre | 

Supprimé ! [HKCU\Software\WS4001]  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

Corrompu : C:\Program Files\Spybot - Search & Destroy\blindman.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Spybot - Search & Destroy\Update.exe
[Offset = 00000104 - Valeur = 0x0001]


################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_UTILISAT-B116E9.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.038 ! |

dédétraqué · Answer

Salut cretin31


Faudra réinstaller Spybot, il a été endommagé.


Fais un scan avec BitDefender bien mis à jour s'il fonctionne, sinon faudra le réinstaller lui aussi.


@++    :)

cretin31 · Answer

Salut dédétraqué,
J'ai fait passé spybot (il m'a trouvé 2 cookies que j'ai supprimé)
Pour bitdefender c'est en cours de réinstallation parce que le pare feu ne fonctionnait pas.

Pour la suite j'attends tes instructions, mais on se rapproche de la fin si je ne m'abuse ?

Merci déjà

dédétraqué · Answer

Salut cretin31


Oui on approche de la fin, après que j'aurai le rapport, va resté :

- désinstaller les outils
- sécuriser ton PC
- consigne de sécurité


@++   :)

cretin31 · Answer

Tu veux quel rapport dédétraqué ?
Bitdefender fait une analyse de tout le disque en ce moment.

dédétraqué · Answer

Salut cretin31 


Je veux le rapport de Bitdefender  ;)

cretin31 · Answer

Voici le rapport !! Il a pas l'air top , non ? BitDefender - Fichier journal Produit : BitDefender Internet Security 2010 Version : BitDefender Antivirus Scanner Tâche d'analyse : Analyse approfondie Date du journal : 18/04/2010 10:31:40 Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\deep_scan\1271579500_1_02.xml Chemins d'analyse : Chemin 0000: C:\ Chemin 0001: E:\ Chemin 0002: F:\ Options d'analyse : Détecter les virus : Oui Détecter les adwares : Oui Détecter les spywares : Oui Détecter les applications : Oui Détecter les dialers : Oui Détecter les rootkits : Oui Recherche de keyloggers : Oui Options d'analyse antivirus : Analyse des clés de registre : Oui Analyser les cookies : Oui Analyser les secteurs de boot : Oui Analyser les processus mémoire : Oui Analyser les archives : Oui Analyser les packers lors de leur exécution : Oui Analyser les e-mails : Non Analyser tous les fichiers : Oui Analyse heuristique : Oui Extensions analysées : non configuré Extensions exclues : non configuré Traitement de la cible : Première action par défaut pour les objets infectés : Désinfecter Seconde action par défaut pour les objets infectés : Aucune Première action par défaut pour les objets suspects : Aucune Seconde action par défaut pour les objets suspects : Aucune Action par défaut pour les objets camouflés : Aucune Première action par défaut pour les objets cryptés infectés : Désinfecter Seconde action par défaut pour les objets cryptés infectés : Aucune Première action par défaut pour les objets cryptés suspects : Aucune Seconde action par défaut pour les objets cryptés suspects : Aucune Action par défaut pour les objets protégés par mot de passe : Enregistrer seulement Résumé de l'analyse Signatures de virus : 3962970 Plugins archives : 45 Plugins e-mail : 6 Plugins d'analyse : 13 Plugins système : 5 Plugins de décompression : 7 De base Éléments analysés : 927745 Éléments infectés : 14 Éléments suspects : 0 (aucun élément suspect n'a été détecté) Éléments cachés : 0 (aucun élément caché n'a été détecté au cours de cette analyse) Éléments résolus : 9 Éléments non résolus : 5 Avancé Temps d'analyse : 02:07:02 Fichiers par seconde : 121 Éléments ignorés : 72262 Éléments avec mot de passe : 0 Éléments ultra-compressés : 0 Virus individuels trouvés : 4 Dossiers analysés : 47918 Secteurs de boot analysés : 0 Archives analysées : 6693 Erreurs I/O : 31 Processus analysés : 98 Processus infectés : 0 Clés de registre analysées : 945 Clés de registre infectées : 0 Cookies analysés : 38 Cookies infectés : 2 Problèmes non résolus :Chemin d'accès à l'objet Nom de la menace État final C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0029041.sys Rootkit.Bagle.Gen Échec de la désinfection (l'objet n'a pas été trouvé) C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0030041.sys Rootkit.Bagle.Gen Échec de la désinfection (l'objet n'a pas été trouvé) C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032040.sys Rootkit.Bagle.Gen Échec de la désinfection (l'objet n'a pas été trouvé) C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032050.sys Rootkit.Bagle.Gen Échec de la désinfection (l'objet n'a pas été trouvé) C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032061.sys Rootkit.Bagle.Gen Échec de la désinfection (l'objet n'a pas été trouvé) Problèmes résolusChemin d'accès à l'objet Nom de la menace État final =>C:\Documents and Settings\Utilisateur\Cookies\utilisateur@bs.serving-sys[1].txt Cookie.BS.Serving-Sys Supprimé =>C:\Documents and Settings\Utilisateur\Cookies\utilisateur@bs.serving-sys[3].txt Cookie.BS.Serving-Sys Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0029040.sys Win32.Bagle.SWQ Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0030040.sys Win32.Bagle.SWQ Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032039.sys Win32.Bagle.SWQ Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032049.sys Win32.Bagle.SWQ Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032060.sys Win32.Bagle.SWQ Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032078.exe Win32.Bagle.SUQ@mm Supprimé C:\System Volume Information\_restore{597A2045-0849-4ADD-BA48-E17F70CC3E5A}\RP199\A0032155.exe Win32.Bagle.SUQ@mm Supprimé

dédétraqué · Answer

Salut cretin31 


Ton rapport est propre, seulement des points de restauration système infectés que l'on va purger :

Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php


-----


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)

cretin31 · Answer

Dédétraqué salut, 

J'ai fais ce que tu m'as dit. J'en suis à la phase toolscleaner mais cette opération me semble manger beaucoups de ressource. C'est normal ? 
Le gestioonnaire des taches me dit que "le prog ne répond pas" 
Surprenant ou pas ?

Je suppose que oui...
Bon, je vais laisser tourner tout cela, je vais me coucher et je te dis à demain ou dans 3 jours car je dois partir demain normalement.
Je te tiens au jus pour la suite des étapes donc jeudi sans doute ...

Merci beaucoup, sincèrement.
A+

dédétraqué · Answer

Salut cretin31


Oui cela peut arriver avec tout programme, arrête le et repart le après avec redémarrer le PC.

OK, tiens moi au courant


@++     :)

cretin31 · Answer

Yep ça y est :

Voici le fichier de toolscleaner !

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !

Cette fois je suis parti au lit.
Je fais tout ce qui suit jeudi au plus tard et je tiens au jus, ok ?


Important de mettre à jour Windows et tes logiciels : 
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx 

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour : 
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/ 

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite. 

Juste une question et toi tu dors quand ? lol !
Ciao

dédétraqué · Answer

Salut cretin31 


Je dort la nuit comme toi, chez moi seulement 20:44 hrs  :p


@++   :)

Contamination

33 réponses

Discussions similaires

Newsletters