Infecté par le Ver Sasser

Résolu/Fermé
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 18 juin 2010 à 18:24
 Utilisateur anonyme - 21 juin 2010 à 17:12
Bonjour,


Eh oui même un futur helper en formation à parfois besoin d'aide !! Je n'ai pas encore traité cette infection je suis un peu perdu !!

Rapport zhp: http://www.cijoint.fr/cjlink.php?file=cj201006/cijgT7hryV.txt

Rapport List'em: http://www.cijoint.fr/cjlink.php?file=cj201006/cijoKdWNG8.txt

Merci d'avance

Cordialement Juju

36 réponses

? Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

? choisis l'option ADD KEY

un document texte va s'ouvrir à l'apparition de : Text Please

?copie/colle le texte en gras ci-dessous :

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "System" /t REG_SZ /d ""


ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil

à la fin un rapport s'ouvre ,

? poste le resultat
<gras>?G3?-?@¢??@?(TM)©®?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 18:37
Re,

T'es plus rapide que le Néric ! C'est sur, je divorce maintenant :D xD

Bug: Windows ne trouve pas "ADD_Key.exe" Vérifiez que vous avez entré le nom correctement etc etc
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 18:38
Mais je te rassure, je n'ai pas de reboot intempestif,....
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 18:41
J'ai réinstallé kill'em c'est bon,

voici le log

¤¤¤¤¤¤¤¤¤¤ Keys :

Added : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "System" /t REG_SZ /d ""
0
lezao Messages postés 469 Date d'inscription dimanche 13 juin 2010 Statut Membre Dernière intervention 14 août 2016 36
18 juin 2010 à 18:42
faut pas s'inquiter pour lui.
Parce que sasser a rien ...
Pfffff, je sors.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 18:44
lezao mdr !!

Ben je m'en passerai bien de lui ! Mais je doute être vérolé car aucuns symptômes !!

juste un peu long au démarrage mais je suppose que c'est le x64 qui fait ça !

pourtant avec 4Go DDR3 oO
0
Utilisateur anonyme
18 juin 2010 à 19:46
Hé Hé !
0
Utilisateur anonyme
18 juin 2010 à 18:43
ok option clean maintenant
0
Utilisateur anonyme
18 juin 2010 à 18:48
pas infecté ?

et un voleur de de données perso , un !! :

C:\Documents and Settings\Administrator\Application data\inst.exe
0
Utilisateur anonyme
18 juin 2010 à 18:52
salut Gen :-)
bonjour juju666, membre de W-T :-)

alors, pas mal ton système, mais il est toujours sur sp2 !

comme tu dis, c'est le X64 qui met le bazare !

mais tu as également ceci :

O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll => Microsoft Windows NT OLE32
O18 - Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\syswow64\msvidctl.dll => Microsoft OLE32
O18 - Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SysWOW64\urlmon.dll => Microsoft Windows NT OLE32
O18 - Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WINDOW~3\MESSEN~1\MSGRAP~1.DLL => Microsoft®Windows Live Messenger
O18 - Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\SysWOW64\inetcomm.dll => Microsoft Internet Messaging API
O18 - Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll => Microsoft Shared File
O18 - Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WINDOW~3\MESSEN~1\MSGRAP~1.DLL => Microsoft®Windows Live Messenger
O18 - Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll => Skype for Internet Explorer
O18 - Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL => Skype
O18 - Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\syswow64\msvidctl.dll => Microsoft Vidéo Flux ActiveX Control
O18 - Handler: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SysWOW64\wiascr.dll => Microsoft WIA Scripting Layer Resource
O18 - Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll => Microsoft Windows NT OLE32
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL


rappelle moi ce que c'est les lignes en O 18 ?

mdr
0
Utilisateur anonyme
18 juin 2010 à 18:57
je peux le dire , je peux le dire ?^^
0
mdr :-)

allez, fais toi plaisir :-)
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
18 juin 2010 à 19:02
Salut à vous,

@Electricien

Il me semble que le SP2 est le dernier pack qui a été développé pour la version x64 de windows XP
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 19:09
Bonjour Electricien, Bonjour Xplode

Bien vu xplode !! On m'a rétorqué la même chsoe j'y croyais pas :)

Pour les lignes 018, j'ai mon copion sous la main :p

C'est bien des protocoles de piratages !!!!!!! xO

Mais où j'ai pu choper ça !! Pas de P2P, pas de téléchargements, XP officiel, je me pose la question !!!! à moins que ce ver traine sur mon DD externe, je ne vois que ça!

mais avant dans mon ancien SE je n'avais pas de lignes 018!

voici le log kill'em, mais au début lors de l'ouverture de cmd il a affiché "Proc_end": cette commande n'existe pas, assurez vous (....)

Kill'em by g3n-h@ckm@n 1.7.2.4

User : Juju666 (Administrators)
Update on 28/04/2010 by g3n-h@ckm@n ::::: 10.45
Start at: 18:47:55 | 18/06/2010

Processeur Intel(R) Pentium(R) II Xeon
Microsoft(R) Windows(R) XP Professionnel Edition x64 (5.2.3790 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 149,04 Go (116,1 Go free) | NTFS
D:\ -> Disque fixe local | 931,51 Go (134 Go free) [LECRYJULIEN] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SysWOW64\runonce.exe
C:\WINDOWS\SysWOW64\cmd.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
C:\Program Files (x86)\Java\jre6\bin\jqs.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
C:\Program Files (x86)\List_Kill'em\ERUNT.EXE
C:\Program Files (x86)\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files (x86)\System
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET5.tmp
Quarantined & Deleted !! : C:\WINDOWS\Fonts\GRGAREF.TTF

Quarantined & Deleted !! : C:\WINDOWS\System32\log.txt
Quarantined & Deleted !! : C:\WINDOWS\SysWow64\log.txt
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application data\inst.exe
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.inf
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.log
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Local Settings\Temp\dw.log
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\ose00000.exe
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\SkypeSetup.exe
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\~gu-ver.dat
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\catchme.dll
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\SuggestedSites.dat

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Par contre il y a un truc à modifier: il m'a deleté des trucs du logiciel convertXtoDVD:

[code]
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.inf
Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.log /code



Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijpEY4H6X.txt


Merci à vous trois de votre aide


PS: le petit exo comme ça ça rafraîchi la mémoire ^^

PS2: le mode clean est beaucoup plus rapide qu'avant, bravo !!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
18 juin 2010 à 20:28
alors, quoi de neuf docteur ?

;-)

repasse un autre zhpdaig pour la vérification :-)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 20:29
Re,

Je l'ai passé juste après le log de Kill'em, relis bien ^^

Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijpEY4H6X.txt

Merci de m'aider.

PS: ça t'intéresse d'être mon mentor quand je pourrais désinfecter avec l'aide de quelqu'un? :-D
0
Nicolas Coolman Messages postés 1104 Date d'inscription dimanche 25 mai 2008 Statut Contributeur sécurité Dernière intervention 5 octobre 2014 27
18 juin 2010 à 20:43
Hello, bonsoir à tous !

La version de ZHPDiag est ancienne et ne prend pas en compte de nouvelles fonctionnalités.

Nous en sommes à la v1.25.1436.

A+
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 juin 2010 à 21:59
Bonjour Nicolas,

j'ai pris note, en effet c'est une version que j'avais téléchargé il y a déjà un bout de temps.

Merci de l'info.

a+++ Juju
0
Utilisateur anonyme
18 juin 2010 à 20:34
qui, moi ?
je ne suis pas si bon que tu crois :p
mais je suis contributeur sécurité comme MDG et Xplod, si tu as besoin, fais moi signe :-)

j'en ai d'autres d'ailleur ;-)

tu veux bien lance un scan de usbfix en mode recherche ?
0
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
18 juin 2010 à 20:36
salut à tous

je ne suis pas si bon que tu crois ==> c'est pas bien de mentir -)
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
18 juin 2010 à 20:40
sans jouer le complot fred08700 a raison...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
Modifié par juju666 le 18/06/2010 à 20:46
Oui pas bien de mentir :D

J'édites quand le scan est fini ;)


EDIT: rien de méchant, tout est déjà à la poubelle, avec moi les virus se cassent tout seul lol je les dompte ! :kill:

n ############################## | UsbFix 7.011 | [Research]

User: Juju666 (Administrator) # JUJU-666 [Gigabyte Technology Co., Ltd. H55M-UD2H]
Updated 17/06/2010 by El Desaparecido / C_XX
Started at 20:43:25 | 18/06/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
CPU 2: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
Microsoft(R) Windows(R) XP Professionnel Edition x64 (5.2.3790 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 3963 Mb
C:\ (%systemdrive%) -> Fixed drive # 149 Gb (116 Mb free - 78%) [] # NTFS
D:\ -> Fixed drive # 932 Gb (134 Mb free - 14%) [LECRYJULIEN] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM

################## | Files # Infected Folders |

Found ! C:\Recycler\S-1-5-21-55411606-2767728594-403843786-500
Found ! D:\$Recycle.Bin\S-1-5-21-1026760815-533379004-4067500624-1000
Found ! D:\$Recycle.Bin\S-1-5-21-815813215-2421035246-1318338707-1000
Found ! D:\Recycler\S-1-5-21-1220945662-1637723038-682003330-1003
Found ! D:\Recycler\S-1-5-21-343818398-492894223-1177238915-1003
Found ! D:\Recycler\S-1-5-21-55411606-2767728594-403843786-500

################## | Registry |


################## | Mountpoints2 |


################## | Vaccin |

D:\adober.exe -> Folder created by VaccinUSB (Gof)
D:\comment.htt -> Folder created by VaccinUSB (Gof)
D:\copy.exe -> Folder created by VaccinUSB (Gof)
D:\host.exe -> Folder created by VaccinUSB (Gof)
D:\info.exe -> Folder created by VaccinUSB (Gof)
D:\msvcr71.dll -> Folder created by VaccinUSB (Gof)
D:\ntdelect.com -> Folder created by VaccinUSB (Gof)
D:\ravmon.exe -> Folder created by VaccinUSB (Gof)
D:\ravmon.log -> Folder created by VaccinUSB (Gof)
D:\sqlserv.exe -> Folder created by VaccinUSB (Gof)
D:\start.exe -> Folder created by VaccinUSB (Gof)
D:\temp.exe -> Folder created by VaccinUSB (Gof)
D:\temp1.exe -> Folder created by VaccinUSB (Gof)
D:\temp2.exe -> Folder created by VaccinUSB (Gof)
D:\winfile.exe -> Folder created by VaccinUSB (Gof)

################## | E.O.F |
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 20:53
Bon ben t'as plus le choix là Electricien...... =P
0
éxagérons pas :-)

tu peux virer ceux là avec usbfix :
################## | Files # Infected Folders |

Found ! C:\Recycler\S-1-5-21-55411606-2767728594-403843786-500
Found ! D:\$Recycle.Bin\S-1-5-21-1026760815-533379004-4067500624-1000
Found ! D:\$Recycle.Bin\S-1-5-21-815813215-2421035246-1318338707-1000
Found ! D:\Recycler\S-1-5-21-1220945662-1637723038-682003330-1003
Found ! D:\Recycler\S-1-5-21-343818398-492894223-1177238915-1003
Found ! D:\Recycler\S-1-5-21-55411606-2767728594-403843786-500


* Pour supprimer les outils de désinfection avec ZHP :

Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.


;-)
0
Utilisateur anonyme
18 juin 2010 à 20:56
un petit Up ;-)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 20:59
############################## | UsbFix 7.011 | [Deletion]

User: Juju666 (Administrator) # JUJU-666 [Gigabyte Technology Co., Ltd. H55M-UD2H]
Updated 17/06/2010 by El Desaparecido / C_XX
Started at 20:54:39 | 18/06/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
CPU 2: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
Microsoft(R) Windows(R) XP Professionnel Edition x64 (5.2.3790 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 3963 Mb
C:\ (%systemdrive%) -> Fixed drive # 149 Gb (116 Mb free - 78%) [] # NTFS
D:\ -> Fixed drive # 932 Gb (134 Mb free - 14%) [LECRYJULIEN] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM

################## | Files # Infected Folders |

Deleted ! C:\Recycler\S-1-5-21-55411606-2767728594-403843786-500
Deleted ! D:\$Recycle.Bin\S-1-5-21-1026760815-533379004-4067500624-1000
Deleted ! D:\$Recycle.Bin\S-1-5-21-815813215-2421035246-1318338707-1000
Not deleted ! D:\Recycler\S-1-5-21-1220945662-1637723038-682003330-1003
Deleted ! D:\Recycler\S-1-5-21-343818398-492894223-1177238915-1003
Deleted ! D:\Recycler\S-1-5-21-55411606-2767728594-403843786-500

################## | Registry |


################## | Mountpoints2 |


################## | Listing |

[18/06/2010 - 18:55:37 | A | 4] C:\AUTOEXEC.BAT
[10/06/2010 - 17:26:27 | SH | 224] C:\boot.ini
[02/01/2009 - 14:57:28 | A | 0] C:\CONFIG.SYS
[02/01/2009 - 15:11:24 | A | 10] C:\csb.log
[02/01/2009 - 15:01:46 | D ] C:\Documents and Settings
[10/06/2010 - 15:20:16 | D ] C:\EPSON
[02/01/2009 - 15:08:14 | D ] C:\fea82df5d7c4f0a6a9bb136c46db4a
[02/01/2009 - 15:11:43 | A | 197] C:\Install.log
[02/01/2009 - 15:10:16 | D ] C:\Intel
[02/01/2009 - 14:57:28 | RASH | 0] C:\IO.SYS
[18/06/2010 - 18:48:05 | D ] C:\Kill'em
[17/06/2010 - 13:22:55 | A | 21059] C:\List'em.txt
[02/01/2009 - 14:57:28 | RASH | 0] C:\MSDOS.SYS
[12/06/2010 - 15:43:07 | RHD ] C:\MSOCache
[25/03/2005 - 14:00:00 | RASH | 47772] C:\NTDETECT.COM
[10/06/2010 - 19:09:13 | RASH | 297072] C:\ntldr
[02/01/2009 - 15:30:36 | D ] C:\NVIDIA
[18/06/2010 - 18:46:31 | ASH | 2145386496] C:\pagefile.sys
[13/06/2010 - 15:48:49 | RD ] C:\Program Files
[18/06/2010 - 18:48:24 | RD ] C:\Program Files (x86)
[18/06/2010 - 20:55:08 | SHD ] C:\RECYCLER
[18/06/2010 - 18:15:05 | D ] C:\rsit
[02/01/2009 - 15:01:39 | SHD ] C:\System Volume Information
[18/06/2010 - 20:55:08 | D ] C:\UsbFix
[18/06/2010 - 20:55:09 | A | 1326] C:\UsbFix.txt
[18/06/2010 - 18:48:53 | D ] C:\WINDOWS
[18/06/2010 - 20:55:08 | D ] D:\$RECYCLE.BIN
[10/06/2010 - 20:25:59 | D ] D:\85a645fe7750efd8739e27ed4fb2
[12/04/2010 - 22:07:03 | RAD ] D:\adober.exe
[30/05/2010 - 22:56:27 | D ] D:\autorun.inf
[06/05/2010 - 20:18:34 | D ] D:\AX NF ZZ
[25/05/2010 - 14:35:08 | A | 49647] D:\bookmarks-2010-05-25.json
[05/03/2010 - 12:45:48 | D ] D:\CLE USB ALAIN
[12/04/2010 - 22:07:03 | RAD ] D:\comment.htt
[12/04/2010 - 22:07:03 | RAD ] D:\copy.exe
[20/02/2010 - 16:04:35 | D ] D:\DIVERS PILOTES ETC
[11/12/2009 - 21:51:39 | D ] D:\DIVERS POUR GSM
[13/06/2010 - 13:04:41 | RD ] D:\DOCUMENTS
[29/12/2009 - 20:16:17 | D ] D:\DOSSIER DE STOCKAGE EMAILS
[03/04/2010 - 15:05:10 | RD ] D:\Désinfection PC + Canned
[12/04/2010 - 22:07:04 | RAD ] D:\host.exe
[27/10/2006 - 14:49:22 | A | 1841770] D:\hw.dll
[11/06/2010 - 10:35:43 | RD ] D:\IMAGES PHOTOS ETC
[12/04/2010 - 22:07:04 | RAD ] D:\info.exe
[19/02/2010 - 17:32:43 | D ] D:\LES GROSSES TETES
[12/04/2010 - 19:41:23 | RD ] D:\LOGICIELS DE PROTECTION
[25/05/2010 - 22:55:09 | RA | 528] D:\MediaID.bin
[22/02/2008 - 20:03:36 | A | 154439498] D:\Mod Counter-Strike 1.6 Lan V1.4.3.exe
[02/01/2009 - 15:47:43 | RD ] D:\MSN
[12/04/2010 - 22:07:04 | RAD ] D:\msvcr71.dll
[29/03/2010 - 15:50:53 | D ] D:\music 2
[06/05/2010 - 19:25:13 | RD ] D:\MUSIQUES
[25/05/2010 - 13:53:49 | D ] D:\My Computer Backups
[09/06/2010 - 23:03:55 | D ] D:\Nouveau dossier
[12/04/2010 - 22:07:05 | RAD ] D:\ntdelect.com
[23/02/2010 - 18:05:59 | D ] D:\OS
[06/05/2010 - 22:06:50 | D ] D:\pda
[02/01/2009 - 15:36:18 | RD ] D:\PROGRAMMES
[12/04/2010 - 22:07:04 | RAD ] D:\ravmon.exe
[12/04/2010 - 22:07:04 | RAD ] D:\ravmon.log
[18/06/2010 - 20:55:08 | SHD ] D:\RECYCLER
[12/04/2010 - 22:07:04 | RAD ] D:\sqlserv.exe
[12/04/2010 - 22:07:04 | RAD ] D:\start.exe
[02/01/2009 - 15:04:48 | SHD ] D:\System Volume Information
[12/04/2010 - 22:07:05 | RAD ] D:\temp.exe
[12/04/2010 - 22:07:05 | RAD ] D:\temp1.exe
[12/04/2010 - 22:07:05 | RAD ] D:\temp2.exe
[29/03/2010 - 15:50:56 | ASH | 15360] D:\Thumbs.db
[30/05/2010 - 17:44:10 | D ] D:\Tutos
[16/04/2010 - 14:33:20 | D ] D:\VCOM
[12/04/2010 - 22:07:05 | RAD ] D:\winfile.exe

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
D:\adober.exe -> Folder created by VaccinUSB (Gof)
D:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
D:\comment.htt -> Folder created by VaccinUSB (Gof)
D:\copy.exe -> Folder created by VaccinUSB (Gof)
D:\host.exe -> Folder created by VaccinUSB (Gof)
D:\info.exe -> Folder created by VaccinUSB (Gof)
D:\msvcr71.dll -> Folder created by VaccinUSB (Gof)
D:\ntdelect.com -> Folder created by VaccinUSB (Gof)
D:\ravmon.exe -> Folder created by VaccinUSB (Gof)
D:\ravmon.log -> Folder created by VaccinUSB (Gof)
D:\sqlserv.exe -> Folder created by VaccinUSB (Gof)
D:\start.exe -> Folder created by VaccinUSB (Gof)
D:\temp.exe -> Folder created by VaccinUSB (Gof)
D:\temp1.exe -> Folder created by VaccinUSB (Gof)
D:\temp2.exe -> Folder created by VaccinUSB (Gof)
D:\winfile.exe -> Folder created by VaccinUSB (Gof)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_JUJU-666.zip
https://www.ionos.fr/?affiliate_id=77097
Thank you for your contribution.

################## | E.O.F |

---

Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijXxFy6cs.txt

ZHPFix v1.12.16 by Nicolas Coolman - Rapport de suppression du 18/06/2010 20:58:29
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\rsit => Supprimé et mis en quarantaine
C:\UsbFix => Supprimé et mis en quarantaine

Fichier :
c:\usbfix.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
O63 - Logiciel: ZHPDiag_is1 => Logiciel supprimé avec succès
O63 - Logiciel: RSIT => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 1
Logiciel : 4
Autre : 0


End of the scan
0
Utilisateur anonyme
18 juin 2010 à 21:05
supprime kill'em manuellement
as tu déjà des anciens points de restauration système sur ton pc ?

si oui, vire les :
pour rappel :
* Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour XP : https://www.commentcamarche.net/faq/5097-virus-system-volume-information



puis fais une mise à jur d'avira, lance un scan complet de ton pc, s'il ne trouve rien, crée un nouveau point de restauration système, ça peut servire ;-)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 21:09
Re,

Kill'em est viré ;)

Pour le reste je sais ^^

Sans oublier mon cher CCleaner héhéhé

On m'a dis une fois que je devrait travailler chez eux lol

Je lance le scan Avira, ensuite MBAM, je te dis si c'est ok

Bonne soirée

Merci pour tout
0
Utilisateur anonyme
18 juin 2010 à 21:13
dans l'ordre si tu veux

MBAM, Ccleaner puis avira ;-)

;-)
@++
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 21:14
AH!

Ok, je reprend ^^
0
Utilisateur anonyme
18 juin 2010 à 21:16
@++
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 21:51
Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4213

Windows 5.2.3790 Service Pack 2
Internet Explorer 8.0.6001.18702

18/06/2010 21:49:39
mbam-log-2010-06-18 (21-49-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 242381
Temps écoulé: 33 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

D:\System Volume Information\_restore{9292DD8B-7921-49F6-8A08-886168EA88B8}\RP143\A0022021.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
18 juin 2010 à 22:26
tu as une infection dans la restauration système :

D:\System Volume Information\_restore\...

à virer ;-)

@++
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 23:07
C'est déjà fait ;)

Pourtant elle est désactivée!
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 juin 2010 à 23:17
Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 18 juin 2010 22:03

La recherche porte sur 2227004 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP 64 Bit
Version de Windows : (Service Pack 2) [5.2.3790]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : JUJU-666

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:42:21
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:42:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:42:39
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:42:46
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:42:57
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:43:07
VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 13:43:07
VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 13:43:07
VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 13:43:07
VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 13:43:07
VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 13:43:07
VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 13:43:07
VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 13:11:18
VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 17:18:27
VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 15:30:01
VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 15:30:01
VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 15:30:01
VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 15:30:01
VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 15:30:01
VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 15:30:01
VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 15:30:01
VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 15:30:01
VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 15:30:01
VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 15:30:01
VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 15:30:01
VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 15:30:01
VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 15:30:02
VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 15:30:02
VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 15:30:02
VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 15:30:02
VBASE031.VDF : 7.10.8.126 93184 Bytes 18/06/2010 15:30:02
Version du moteur : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 02/01/2009 13:43:23
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/01/2009 13:43:23
AESCN.DLL : 8.1.6.1 127347 Bytes 02/01/2009 13:43:21
AESBX.DLL : 8.1.3.1 254324 Bytes 02/01/2009 13:43:23
AERDL.DLL : 8.1.4.6 541043 Bytes 02/01/2009 13:43:20
AEPACK.DLL : 8.2.1.1 426358 Bytes 02/01/2009 13:43:19
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 02/01/2009 13:43:18
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 02/01/2009 13:43:18
AEHELP.DLL : 8.1.11.5 242038 Bytes 02/01/2009 13:43:13
AEGEN.DLL : 8.1.3.10 377205 Bytes 02/01/2009 13:43:12
AEEMU.DLL : 8.1.2.0 393588 Bytes 02/01/2009 13:43:11
AECORE.DLL : 8.1.15.3 192886 Bytes 02/01/2009 13:43:11
AEBB.DLL : 8.1.1.0 53618 Bytes 02/01/2009 13:43:10
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 02/01/2009 13:43:24
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : vendredi 18 juin 2010 22:03

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BCU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'BCUService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'nvsvc64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
'19' processus ont été contrôlés avec '19' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Administrator\My Documents\Downloads\UnDeadPatch333.rar
[0] Type d'archive: RAR
--> UnDeadPatch333.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <LECRYJULIEN>
D:\CLE USB ALAIN\Counter-Strike.Source.Portable\Portable Counter-Strike - Source\Portable Counter-Strike Source by ZeroX.exe
[0] Type d'archive: RAR SFX (self extracting)
--> PCSS.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
D:\CLE USB ALAIN\exe programme\anti virus,etc\kaspersky\Kaspersky 2009.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \kav8.0.0.506fr.msi
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe

[0] Type d'archive: RAR SFX (self extracting)
--> nircmd.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2
D:\Nouveau dossier\Téléchargements\AO2010ByJuju666.rar
[0] Type d'archive: RAR
--> MKMS1.2.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Keygen.36
D:\Nouveau dossier\Téléchargements\MKMS1.2.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Keygen.36
D:\System Volume Information\_restore{9292DD8B-7921-49F6-8A08-886168EA88B8}\RP163\A0025194.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \kav8.0.0.506fr.msi
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

Début de la désinfection :
C:\Documents and Settings\Administrator\My Documents\Downloads\UnDeadPatch333.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c5fdf5f.qua' !
D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7cdf5d.qua' !
D:\Nouveau dossier\Téléchargements\AO2010ByJuju666.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4ddf40.qua' !
D:\Nouveau dossier\Téléchargements\MKMS1.2.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Keygen.36
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c68df3c.qua' !


Fin de la recherche : vendredi 18 juin 2010 23:02
Temps nécessaire: 59:35 Minute(s)

La recherche a été effectuée intégralement

9880 Les répertoires ont été contrôlés
854845 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
854839 Fichiers non infectés
9928 Les archives ont été contrôlées
8 Avertissements
5 Consignes




Je rebbot le pc et je réactive la restau système
0
Utilisateur anonyme
19 juin 2010 à 07:57
bonjour les amiches :-)

Gen n'est pas content car tu n'as pas la bonne version de kill'em !
nicolas pareil !

en plus, tu as un dropper sur ton pc !!!!

que fais tu avec ce pc ???

regarde un peu ceci :

.
.
.
C:\Documents and Settings\Administrator\My Documents\Downloads\UnDeadPatch333.rar
[0] Type d'archive: RAR
--> UnDeadPatch333.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
.
.
.
D:\CLE USB ALAIN\Counter-Strike.Source.Portable\Portable Counter-Strike - Source\Portable Counter-Strike Source by ZeroX.exe
[0] Type d'archive: RAR SFX (self extracting)
--> PCSS.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
D:\CLE USB ALAIN\exe programme\anti virus,etc\kaspersky\Kaspersky 2009.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \kav8.0.0.506fr.msi
D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe
.
.
.


ce que je ne comprends pas, c'est qu'il mette en quarantaine l'executable de Flash_Disinfector.exe !!!

houuuu !! mdr
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 juin 2010 à 14:48
Non.

En fait le fameux dropper je l'avais oublié, c'est parce que je vais sur des sites de Warez (hou le vilain! Honte à moi!) (plutôt pour la mise en garde et la prévention, j'essaye de me racheter de cette mauvais conduite! lol) et en fait je l'avais téléchargé pour le vérifier. Ensuite il est resté là car je l'ai oublié! mais l'archive RAR n'a jamais été ouverte. Pas fou moi!

Ah bon, moi je pensais qu'il s'agissait d'un FP!

Pour les version de kill'em et de ZHP je ne savais pas. Il y a longtemps qu'ils sont sur le pc c'est juste.

Je vais donc remettre en 40aine et deleter l'exe infecté!
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 juin 2010 à 14:51
Ce que je fais avec le pc? Du surf. Un peu de programmation. J'étudie des malwares mais sur une VM ;-)

J'apprend à désinfecter et du coup j'me chope des saloperies! Lol
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 juin 2010 à 15:30
Tiens, pourquoi il met "[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé ! "

Car il n'avait que le moteur qui tournait j'étais parti manger des frites xD
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 juin 2010 à 16:07
nouveau log:



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 19 juin 2010 14:52

La recherche porte sur 2227004 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP 64 Bit
Version de Windows : (Service Pack 2) [5.2.3790]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : JUJU-666

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:42:21
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:42:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:42:39
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:42:46
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:42:57
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:43:07
VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 13:43:07
VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 13:43:07
VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 13:43:07
VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 13:43:07
VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 13:43:07
VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 13:43:07
VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 13:11:18
VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 17:18:27
VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 15:30:01
VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 15:30:01
VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 15:30:01
VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 15:30:01
VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 15:30:01
VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 15:30:01
VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 15:30:01
VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 15:30:01
VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 15:30:01
VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 15:30:01
VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 15:30:01
VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 15:30:01
VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 15:30:02
VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 15:30:02
VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 15:30:02
VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 15:30:02
VBASE031.VDF : 7.10.8.126 93184 Bytes 18/06/2010 15:30:02
Version du moteur : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 02/01/2009 13:43:23
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/01/2009 13:43:23
AESCN.DLL : 8.1.6.1 127347 Bytes 02/01/2009 13:43:21
AESBX.DLL : 8.1.3.1 254324 Bytes 02/01/2009 13:43:23
AERDL.DLL : 8.1.4.6 541043 Bytes 02/01/2009 13:43:20
AEPACK.DLL : 8.2.1.1 426358 Bytes 02/01/2009 13:43:19
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 02/01/2009 13:43:18
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 02/01/2009 13:43:18
AEHELP.DLL : 8.1.11.5 242038 Bytes 02/01/2009 13:43:13
AEGEN.DLL : 8.1.3.10 377205 Bytes 02/01/2009 13:43:12
AEEMU.DLL : 8.1.2.0 393588 Bytes 02/01/2009 13:43:11
AECORE.DLL : 8.1.15.3 192886 Bytes 02/01/2009 13:43:11
AEBB.DLL : 8.1.1.0 53618 Bytes 02/01/2009 13:43:10
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 02/01/2009 13:43:24
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : samedi 19 juin 2010 14:52

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BCU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'BCUService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'nvsvc64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
'17' processus ont été contrôlés avec '17' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <LECRYJULIEN>
D:\CLE USB ALAIN\Counter-Strike.Source.Portable\Portable Counter-Strike - Source\Portable Counter-Strike Source by ZeroX.exe
[0] Type d'archive: RAR SFX (self extracting)
--> PCSS.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
D:\CLE USB ALAIN\exe programme\anti virus,etc\kaspersky\Kaspersky 2009.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \kav8.0.0.506fr.msi
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe

[0] Type d'archive: RAR SFX (self extracting)
--> nircmd.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2
D:\System Volume Information\_restore{9292DD8B-7921-49F6-8A08-886168EA88B8}\RP163\A0025194.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \kav8.0.0.506fr.msi
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

Début de la désinfection :
D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7dcf3a.qua' !


Fin de la recherche : samedi 19 juin 2010 16:06
Temps nécessaire: 1:04:23 Heure(s)

La recherche a été effectuée intégralement

9955 Les répertoires ont été contrôlés
854969 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
854966 Fichiers non infectés
9951 Les archives ont été contrôlées
8 Avertissements
2 Consignes




D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe

[0] Type d'archive: RAR SFX (self extracting)
--> nircmd.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2 <- c'est un FP ! :D

Je réactive la restau!
0