Infecté par le Ver Sasser

Résolu
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

Eh oui même un futur helper en formation à parfois besoin d'aide !! Je n'ai pas encore traité cette infection je suis un peu perdu !!

Rapport zhp: http://www.cijoint.fr/cjlink.php?file=cj201006/cijgT7hryV.txt

Rapport List'em: http://www.cijoint.fr/cjlink.php?file=cj201006/cijoKdWNG8.txt

Merci d'avance

Cordialement Juju

36 réponses

  • 1
  • 2
Résumé de la discussion

Une infection informatique est évoquée, accompagnée de rapports et de logs détaillés visant à diagnostiquer une compromission sur Windows et à guider le nettoyage, y compris les entrées détectées par un outil de détection. Des éléments du rapport montrent un hijack du navigateur et des modifications de préférences dans Firefox et IE, avec la désignation d'un moteur de recherche personnalisé et l'activation d'outils comme Ad-Remover. D'autres échanges évoquent un possible ver ancien et les limites perçues de certains antivirus comme Avira, MBAM ou Nod32, tandis que des indices signalent une infection présente dans les points de restauration système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    ? Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ? choisis l'option ADD KEY

    un document texte va s'ouvrir à l'apparition de : Text Please

    ?copie/colle le texte en gras ci-dessous :

    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "System" /t REG_SZ /d ""

    ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

    Laisse travailler l'outil

    à la fin un rapport s'ouvre ,

    ? poste le resultat
    <gras>?G3?-?@¢??@?(TM)©®?
    0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    T'es plus rapide que le Néric ! C'est sur, je divorce maintenant :D xD

    Bug: Windows ne trouve pas "ADD_Key.exe" Vérifiez que vous avez entré le nom correctement etc etc
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Mais je te rassure, je n'ai pas de reboot intempestif,....
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      J'ai réinstallé kill'em c'est bon,

      voici le log

      ¤¤¤¤¤¤¤¤¤¤ Keys :

      Added : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "System" /t REG_SZ /d ""
      0
    3. lezao Messages postés 505 Statut Membre 36
       
      faut pas s'inquiter pour lui.
      Parce que sasser a rien ...
      Pfffff, je sors.
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      lezao mdr !!

      Ben je m'en passerai bien de lui ! Mais je doute être vérolé car aucuns symptômes !!

      juste un peu long au démarrage mais je suppose que c'est le x64 qui fait ça !

      pourtant avec 4Go DDR3 oO
      0
    5. ric025
       
      Hé Hé !
      0
  3. gen-hackman
     
    ok option clean maintenant
    0
    1. gen-hackman
       
      pas infecté ?

      et un voleur de de données perso , un !! :

      C:\Documents and Settings\Administrator\Application data\inst.exe
      0
  4. Utilisateur anonyme
     
    salut Gen :-)
    bonjour juju666, membre de W-T :-)

    alors, pas mal ton système, mais il est toujours sur sp2 !

    comme tu dis, c'est le X64 qui met le bazare !

    mais tu as également ceci :

    O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll => Microsoft Windows NT OLE32
    O18 - Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\syswow64\msvidctl.dll => Microsoft OLE32
    O18 - Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SysWOW64\urlmon.dll => Microsoft Windows NT OLE32
    O18 - Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WINDOW~3\MESSEN~1\MSGRAP~1.DLL => Microsoft®Windows Live Messenger
    O18 - Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\SysWOW64\inetcomm.dll => Microsoft Internet Messaging API
    O18 - Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll => Microsoft Shared File
    O18 - Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WINDOW~3\MESSEN~1\MSGRAP~1.DLL => Microsoft®Windows Live Messenger
    O18 - Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll => Skype for Internet Explorer
    O18 - Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL => Skype
    O18 - Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\syswow64\msvidctl.dll => Microsoft Vidéo Flux ActiveX Control
    O18 - Handler: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SysWOW64\wiascr.dll => Microsoft WIA Scripting Layer Resource
    O18 - Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll => Microsoft Windows NT OLE32
    O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL


    rappelle moi ce que c'est les lignes en O 18 ?

    mdr
    0
    1. gen-hackman
       
      je peux le dire , je peux le dire ?^^
      0
    2. Utilisateur anonyme
       
      mdr :-)

      allez, fais toi plaisir :-)
      0
    3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Salut à vous,

      @Electricien

      Il me semble que le SP2 est le dernier pack qui a été développé pour la version x64 de windows XP
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Bonjour Electricien, Bonjour Xplode

      Bien vu xplode !! On m'a rétorqué la même chsoe j'y croyais pas :)

      Pour les lignes 018, j'ai mon copion sous la main :p

      C'est bien des protocoles de piratages !!!!!!! xO

      Mais où j'ai pu choper ça !! Pas de P2P, pas de téléchargements, XP officiel, je me pose la question !!!! à moins que ce ver traine sur mon DD externe, je ne vois que ça!

      mais avant dans mon ancien SE je n'avais pas de lignes 018!

      voici le log kill'em, mais au début lors de l'ouverture de cmd il a affiché "Proc_end": cette commande n'existe pas, assurez vous (....)

      Kill'em by g3n-h@ckm@n 1.7.2.4

      User : Juju666 (Administrators)
      Update on 28/04/2010 by g3n-h@ckm@n ::::: 10.45
      Start at: 18:47:55 | 18/06/2010

      Processeur Intel(R) Pentium(R) II Xeon
      Microsoft(R) Windows(R) XP Professionnel Edition x64 (5.2.3790 64-bit) # Service Pack 2
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

      A:\ -> Lecteur de disquettes 3 ½ pouces
      C:\ -> Disque fixe local | 149,04 Go (116,1 Go free) | NTFS
      D:\ -> Disque fixe local | 931,51 Go (134 Go free) [LECRYJULIEN] | NTFS
      E:\ -> Disque CD-ROM
      F:\ -> Disque CD-ROM


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
      C:\WINDOWS\SysWOW64\runonce.exe
      C:\WINDOWS\SysWOW64\cmd.exe
      C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
      C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
      C:\Program Files (x86)\Java\jre6\bin\jqs.exe
      C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
      C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
      C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
      C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
      C:\Program Files (x86)\List_Kill'em\ERUNT.EXE
      C:\Program Files (x86)\List_Kill'em\pv.exe

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Quarantined & Deleted !! : C:\Program Files (x86)\System
      Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
      Quarantined & Deleted !! : C:\WINDOWS\SET5.tmp
      Quarantined & Deleted !! : C:\WINDOWS\Fonts\GRGAREF.TTF

      Quarantined & Deleted !! : C:\WINDOWS\System32\log.txt
      Quarantined & Deleted !! : C:\WINDOWS\SysWow64\log.txt
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application data\inst.exe
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.inf
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.log
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Local Settings\Temp\dw.log
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\ose00000.exe
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\SkypeSetup.exe
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\~gu-ver.dat
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\LOCAL Settings\Temp\catchme.dll
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\SuggestedSites.dat

      =======
      Hosts :
      =======

      127.0.0.1 localhost

      ========
      Registry
      ========

      Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
      Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
      =================
      Internet Explorer
      =================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.google.com/?gws_rd=ssl
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ===============
      Security Center
      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      FirstRunDisabled REG_DWORD 1 (0x1)
      AntiVirusDisableNotify REG_DWORD 0 (0x0)
      FirewallDisableNotify REG_DWORD 0 (0x0)
      UpdatesDisableNotify REG_DWORD 0 (0x0)
      AntiVirusOverride REG_DWORD 1 (0x1)
      FirewallOverride REG_DWORD 1 (0x1)

      ========
      Services
      =========

      Ndisuio : Start = 3
      Ip6Fw : Start = 2
      SharedAccess : Start = 2
      wuauserv : Start = 2
      wscsvc : Start = 2

      ============
      Disk Cleaned
      anti-ver blaster : OK
      Prefetch cleaned
      ================



      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


      Par contre il y a un truc à modifier: il m'a deleté des trucs du logiciel convertXtoDVD:

      [code]
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.inf
      Quarantined & Deleted !! : C:\Documents and Settings\Administrator\Application Data\pcouffin.log /code



      Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijpEY4H6X.txt


      Merci à vous trois de votre aide


      PS: le petit exo comme ça ça rafraîchi la mémoire ^^

      PS2: le mode clean est beaucoup plus rapide qu'avant, bravo !!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    alors, quoi de neuf docteur ?

    ;-)

    repasse un autre zhpdaig pour la vérification :-)
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Je l'ai passé juste après le log de Kill'em, relis bien ^^

    Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijpEY4H6X.txt

    Merci de m'aider.

    PS: ça t'intéresse d'être mon mentor quand je pourrais désinfecter avec l'aide de quelqu'un? :-D
    0
    1. Nicolas Coolman Messages postés 1119 Statut Contributeur sécurité 27
       
      Hello, bonsoir à tous !

      La version de ZHPDiag est ancienne et ne prend pas en compte de nouvelles fonctionnalités.

      Nous en sommes à la v1.25.1436.

      A+
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Bonjour Nicolas,

      j'ai pris note, en effet c'est une version que j'avais téléchargé il y a déjà un bout de temps.

      Merci de l'info.

      a+++ Juju
      0
  8. Utilisateur anonyme
     
    qui, moi ?
    je ne suis pas si bon que tu crois :p
    mais je suis contributeur sécurité comme MDG et Xplod, si tu as besoin, fais moi signe :-)

    j'en ai d'autres d'ailleur ;-)

    tu veux bien lance un scan de usbfix en mode recherche ?
    0
    1. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
       
      salut à tous

      je ne suis pas si bon que tu crois ==> c'est pas bien de mentir -)
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      sans jouer le complot fred08700 a raison...
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Oui pas bien de mentir :D

      J'édites quand le scan est fini ;)


      EDIT: rien de méchant, tout est déjà à la poubelle, avec moi les virus se cassent tout seul lol je les dompte ! :kill:

      n ############################## | UsbFix 7.011 | [Research]

      User: Juju666 (Administrator) # JUJU-666 [Gigabyte Technology Co., Ltd. H55M-UD2H]
      Updated 17/06/2010 by El Desaparecido / C_XX
      Started at 20:43:25 | 18/06/2010
      Website: http://pagesperso-orange.fr/NosTools/index.html
      Contact: FindyKill.Contact@gmail.com

      CPU: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
      CPU 2: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
      Microsoft(R) Windows(R) XP Professionnel Edition x64 (5.2.3790 64-Bit) # Service Pack 2
      Internet Explorer 8.0.6001.18702

      Windows Firewall: Enabled
      Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
      RAM -> 3963 Mb
      C:\ (%systemdrive%) -> Fixed drive # 149 Gb (116 Mb free - 78%) [] # NTFS
      D:\ -> Fixed drive # 932 Gb (134 Mb free - 14%) [LECRYJULIEN] # NTFS
      E:\ -> CD-ROM
      F:\ -> CD-ROM

      ################## | Files # Infected Folders |

      Found ! C:\Recycler\S-1-5-21-55411606-2767728594-403843786-500
      Found ! D:\$Recycle.Bin\S-1-5-21-1026760815-533379004-4067500624-1000
      Found ! D:\$Recycle.Bin\S-1-5-21-815813215-2421035246-1318338707-1000
      Found ! D:\Recycler\S-1-5-21-1220945662-1637723038-682003330-1003
      Found ! D:\Recycler\S-1-5-21-343818398-492894223-1177238915-1003
      Found ! D:\Recycler\S-1-5-21-55411606-2767728594-403843786-500

      ################## | Registry |


      ################## | Mountpoints2 |


      ################## | Vaccin |

      D:\adober.exe -> Folder created by VaccinUSB (Gof)
      D:\comment.htt -> Folder created by VaccinUSB (Gof)
      D:\copy.exe -> Folder created by VaccinUSB (Gof)
      D:\host.exe -> Folder created by VaccinUSB (Gof)
      D:\info.exe -> Folder created by VaccinUSB (Gof)
      D:\msvcr71.dll -> Folder created by VaccinUSB (Gof)
      D:\ntdelect.com -> Folder created by VaccinUSB (Gof)
      D:\ravmon.exe -> Folder created by VaccinUSB (Gof)
      D:\ravmon.log -> Folder created by VaccinUSB (Gof)
      D:\sqlserv.exe -> Folder created by VaccinUSB (Gof)
      D:\start.exe -> Folder created by VaccinUSB (Gof)
      D:\temp.exe -> Folder created by VaccinUSB (Gof)
      D:\temp1.exe -> Folder created by VaccinUSB (Gof)
      D:\temp2.exe -> Folder created by VaccinUSB (Gof)
      D:\winfile.exe -> Folder created by VaccinUSB (Gof)

      ################## | E.O.F |
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Bon ben t'as plus le choix là Electricien...... =P
      0
  9. Utilisateur anonyme
     
    éxagérons pas :-)

    tu peux virer ceux là avec usbfix :
    ################## | Files # Infected Folders |

    Found ! C:\Recycler\S-1-5-21-55411606-2767728594-403843786-500
    Found ! D:\$Recycle.Bin\S-1-5-21-1026760815-533379004-4067500624-1000
    Found ! D:\$Recycle.Bin\S-1-5-21-815813215-2421035246-1318338707-1000
    Found ! D:\Recycler\S-1-5-21-1220945662-1637723038-682003330-1003
    Found ! D:\Recycler\S-1-5-21-343818398-492894223-1177238915-1003
    Found ! D:\Recycler\S-1-5-21-55411606-2767728594-403843786-500


    * Pour supprimer les outils de désinfection avec ZHP :

    Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.

    ;-)
    0
    1. Utilisateur anonyme
       
      un petit Up ;-)
      0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ############################## | UsbFix 7.011 | [Deletion]

    User: Juju666 (Administrator) # JUJU-666 [Gigabyte Technology Co., Ltd. H55M-UD2H]
    Updated 17/06/2010 by El Desaparecido / C_XX
    Started at 20:54:39 | 18/06/2010
    Website: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
    CPU 2: Intel(R) Core(TM) i3 CPU 530 @ 2.93GHz
    Microsoft(R) Windows(R) XP Professionnel Edition x64 (5.2.3790 64-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702

    Windows Firewall: Enabled
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    RAM -> 3963 Mb
    C:\ (%systemdrive%) -> Fixed drive # 149 Gb (116 Mb free - 78%) [] # NTFS
    D:\ -> Fixed drive # 932 Gb (134 Mb free - 14%) [LECRYJULIEN] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM

    ################## | Files # Infected Folders |

    Deleted ! C:\Recycler\S-1-5-21-55411606-2767728594-403843786-500
    Deleted ! D:\$Recycle.Bin\S-1-5-21-1026760815-533379004-4067500624-1000
    Deleted ! D:\$Recycle.Bin\S-1-5-21-815813215-2421035246-1318338707-1000
    Not deleted ! D:\Recycler\S-1-5-21-1220945662-1637723038-682003330-1003
    Deleted ! D:\Recycler\S-1-5-21-343818398-492894223-1177238915-1003
    Deleted ! D:\Recycler\S-1-5-21-55411606-2767728594-403843786-500

    ################## | Registry |

    ################## | Mountpoints2 |

    ################## | Listing |

    [18/06/2010 - 18:55:37 | A | 4] C:\AUTOEXEC.BAT
    [10/06/2010 - 17:26:27 | SH | 224] C:\boot.ini
    [02/01/2009 - 14:57:28 | A | 0] C:\CONFIG.SYS
    [02/01/2009 - 15:11:24 | A | 10] C:\csb.log
    [02/01/2009 - 15:01:46 | D ] C:\Documents and Settings
    [10/06/2010 - 15:20:16 | D ] C:\EPSON
    [02/01/2009 - 15:08:14 | D ] C:\fea82df5d7c4f0a6a9bb136c46db4a
    [02/01/2009 - 15:11:43 | A | 197] C:\Install.log
    [02/01/2009 - 15:10:16 | D ] C:\Intel
    [02/01/2009 - 14:57:28 | RASH | 0] C:\IO.SYS
    [18/06/2010 - 18:48:05 | D ] C:\Kill'em
    [17/06/2010 - 13:22:55 | A | 21059] C:\List'em.txt
    [02/01/2009 - 14:57:28 | RASH | 0] C:\MSDOS.SYS
    [12/06/2010 - 15:43:07 | RHD ] C:\MSOCache
    [25/03/2005 - 14:00:00 | RASH | 47772] C:\NTDETECT.COM
    [10/06/2010 - 19:09:13 | RASH | 297072] C:\ntldr
    [02/01/2009 - 15:30:36 | D ] C:\NVIDIA
    [18/06/2010 - 18:46:31 | ASH | 2145386496] C:\pagefile.sys
    [13/06/2010 - 15:48:49 | RD ] C:\Program Files
    [18/06/2010 - 18:48:24 | RD ] C:\Program Files (x86)
    [18/06/2010 - 20:55:08 | SHD ] C:\RECYCLER
    [18/06/2010 - 18:15:05 | D ] C:\rsit
    [02/01/2009 - 15:01:39 | SHD ] C:\System Volume Information
    [18/06/2010 - 20:55:08 | D ] C:\UsbFix
    [18/06/2010 - 20:55:09 | A | 1326] C:\UsbFix.txt
    [18/06/2010 - 18:48:53 | D ] C:\WINDOWS
    [18/06/2010 - 20:55:08 | D ] D:\$RECYCLE.BIN
    [10/06/2010 - 20:25:59 | D ] D:\85a645fe7750efd8739e27ed4fb2
    [12/04/2010 - 22:07:03 | RAD ] D:\adober.exe
    [30/05/2010 - 22:56:27 | D ] D:\autorun.inf
    [06/05/2010 - 20:18:34 | D ] D:\AX NF ZZ
    [25/05/2010 - 14:35:08 | A | 49647] D:\bookmarks-2010-05-25.json
    [05/03/2010 - 12:45:48 | D ] D:\CLE USB ALAIN
    [12/04/2010 - 22:07:03 | RAD ] D:\comment.htt
    [12/04/2010 - 22:07:03 | RAD ] D:\copy.exe
    [20/02/2010 - 16:04:35 | D ] D:\DIVERS PILOTES ETC
    [11/12/2009 - 21:51:39 | D ] D:\DIVERS POUR GSM
    [13/06/2010 - 13:04:41 | RD ] D:\DOCUMENTS
    [29/12/2009 - 20:16:17 | D ] D:\DOSSIER DE STOCKAGE EMAILS
    [03/04/2010 - 15:05:10 | RD ] D:\Désinfection PC + Canned
    [12/04/2010 - 22:07:04 | RAD ] D:\host.exe
    [27/10/2006 - 14:49:22 | A | 1841770] D:\hw.dll
    [11/06/2010 - 10:35:43 | RD ] D:\IMAGES PHOTOS ETC
    [12/04/2010 - 22:07:04 | RAD ] D:\info.exe
    [19/02/2010 - 17:32:43 | D ] D:\LES GROSSES TETES
    [12/04/2010 - 19:41:23 | RD ] D:\LOGICIELS DE PROTECTION
    [25/05/2010 - 22:55:09 | RA | 528] D:\MediaID.bin
    [22/02/2008 - 20:03:36 | A | 154439498] D:\Mod Counter-Strike 1.6 Lan V1.4.3.exe
    [02/01/2009 - 15:47:43 | RD ] D:\MSN
    [12/04/2010 - 22:07:04 | RAD ] D:\msvcr71.dll
    [29/03/2010 - 15:50:53 | D ] D:\music 2
    [06/05/2010 - 19:25:13 | RD ] D:\MUSIQUES
    [25/05/2010 - 13:53:49 | D ] D:\My Computer Backups
    [09/06/2010 - 23:03:55 | D ] D:\Nouveau dossier
    [12/04/2010 - 22:07:05 | RAD ] D:\ntdelect.com
    [23/02/2010 - 18:05:59 | D ] D:\OS
    [06/05/2010 - 22:06:50 | D ] D:\pda
    [02/01/2009 - 15:36:18 | RD ] D:\PROGRAMMES
    [12/04/2010 - 22:07:04 | RAD ] D:\ravmon.exe
    [12/04/2010 - 22:07:04 | RAD ] D:\ravmon.log
    [18/06/2010 - 20:55:08 | SHD ] D:\RECYCLER
    [12/04/2010 - 22:07:04 | RAD ] D:\sqlserv.exe
    [12/04/2010 - 22:07:04 | RAD ] D:\start.exe
    [02/01/2009 - 15:04:48 | SHD ] D:\System Volume Information
    [12/04/2010 - 22:07:05 | RAD ] D:\temp.exe
    [12/04/2010 - 22:07:05 | RAD ] D:\temp1.exe
    [12/04/2010 - 22:07:05 | RAD ] D:\temp2.exe
    [29/03/2010 - 15:50:56 | ASH | 15360] D:\Thumbs.db
    [30/05/2010 - 17:44:10 | D ] D:\Tutos
    [16/04/2010 - 14:33:20 | D ] D:\VCOM
    [12/04/2010 - 22:07:05 | RAD ] D:\winfile.exe

    ################## | Vaccin |

    C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
    D:\adober.exe -> Folder created by VaccinUSB (Gof)
    D:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
    D:\comment.htt -> Folder created by VaccinUSB (Gof)
    D:\copy.exe -> Folder created by VaccinUSB (Gof)
    D:\host.exe -> Folder created by VaccinUSB (Gof)
    D:\info.exe -> Folder created by VaccinUSB (Gof)
    D:\msvcr71.dll -> Folder created by VaccinUSB (Gof)
    D:\ntdelect.com -> Folder created by VaccinUSB (Gof)
    D:\ravmon.exe -> Folder created by VaccinUSB (Gof)
    D:\ravmon.log -> Folder created by VaccinUSB (Gof)
    D:\sqlserv.exe -> Folder created by VaccinUSB (Gof)
    D:\start.exe -> Folder created by VaccinUSB (Gof)
    D:\temp.exe -> Folder created by VaccinUSB (Gof)
    D:\temp1.exe -> Folder created by VaccinUSB (Gof)
    D:\temp2.exe -> Folder created by VaccinUSB (Gof)
    D:\winfile.exe -> Folder created by VaccinUSB (Gof)

    ################## | Upload |

    Please send the file: C:\UsbFix_Upload_Me_JUJU-666.zip
    https://www.ionos.fr/?affiliate_id=77097
    Thank you for your contribution.

    ################## | E.O.F |

    ---

    Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijXxFy6cs.txt

    ZHPFix v1.12.16 by Nicolas Coolman - Rapport de suppression du 18/06/2010 20:58:29
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Dossier :
    C:\rsit => Supprimé et mis en quarantaine
    C:\UsbFix => Supprimé et mis en quarantaine

    Fichier :
    c:\usbfix.txt => Supprimé et mis en quarantaine

    Logiciel :
    O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
    O63 - Logiciel: ZHPDiag_is1 => Logiciel supprimé avec succès
    O63 - Logiciel: RSIT => Logiciel supprimé avec succès
    O63 - Logiciel: UsbFix => Logiciel supprimé avec succès

    Script Registre :
    (Néant)

    Autre :
    (Néant)

    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 2
    Fichier : 1
    Logiciel : 4
    Autre : 0

    End of the scan
    0
  11. Utilisateur anonyme
     
    supprime kill'em manuellement
    as tu déjà des anciens points de restauration système sur ton pc ?

    si oui, vire les :
    pour rappel :
    * Désactivation, puis Réactivation de la restauration système après désinfection :

    Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
    Pour XP : https://www.commentcamarche.net/faq/5097-virus-system-volume-information


    puis fais une mise à jur d'avira, lance un scan complet de ton pc, s'il ne trouve rien, crée un nouveau point de restauration système, ça peut servire ;-)
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Kill'em est viré ;)

    Pour le reste je sais ^^

    Sans oublier mon cher CCleaner héhéhé

    On m'a dis une fois que je devrait travailler chez eux lol

    Je lance le scan Avira, ensuite MBAM, je te dis si c'est ok

    Bonne soirée

    Merci pour tout
    0
  13. Utilisateur anonyme
     
    dans l'ordre si tu veux

    MBAM, Ccleaner puis avira ;-)

    ;-)
    @++
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    AH!

    Ok, je reprend ^^
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Voici le rapport MBAM:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4213

    Windows 5.2.3790 Service Pack 2
    Internet Explorer 8.0.6001.18702

    18/06/2010 21:49:39
    mbam-log-2010-06-18 (21-49-39).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 242381
    Temps écoulé: 33 minute(s), 25 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):

    D:\System Volume Information\_restore{9292DD8B-7921-49F6-8A08-886168EA88B8}\RP143\A0022021.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    0
  16. Utilisateur anonyme
     
    tu as une infection dans la restauration système :

    D:\System Volume Information\_restore\...

    à virer ;-)

    @++
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      C'est déjà fait ;)

      Pourtant elle est désactivée!
      0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Avira AntiVir Personal
    Date de création du fichier de rapport : vendredi 18 juin 2010 22:03

    La recherche porte sur 2227004 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP 64 Bit
    Version de Windows : (Service Pack 2) [5.2.3790]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : JUJU-666

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:42:21
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:42:35
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:42:39
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:42:46
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:42:57
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:43:07
    VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 13:43:07
    VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 13:43:07
    VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 13:43:07
    VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 13:43:07
    VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 13:43:07
    VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 13:43:07
    VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 13:11:18
    VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 17:18:27
    VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 15:30:01
    VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 15:30:01
    VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 15:30:01
    VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 15:30:01
    VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 15:30:01
    VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 15:30:01
    VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 15:30:01
    VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 15:30:01
    VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 15:30:01
    VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 15:30:01
    VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 15:30:01
    VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 15:30:01
    VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 15:30:02
    VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 15:30:02
    VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 15:30:02
    VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 15:30:02
    VBASE031.VDF : 7.10.8.126 93184 Bytes 18/06/2010 15:30:02
    Version du moteur : 8.2.2.6
    AEVDF.DLL : 8.1.2.0 106868 Bytes 02/01/2009 13:43:23
    AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/01/2009 13:43:23
    AESCN.DLL : 8.1.6.1 127347 Bytes 02/01/2009 13:43:21
    AESBX.DLL : 8.1.3.1 254324 Bytes 02/01/2009 13:43:23
    AERDL.DLL : 8.1.4.6 541043 Bytes 02/01/2009 13:43:20
    AEPACK.DLL : 8.2.1.1 426358 Bytes 02/01/2009 13:43:19
    AEOFFICE.DLL : 8.1.1.0 201081 Bytes 02/01/2009 13:43:18
    AEHEUR.DLL : 8.1.1.33 2724214 Bytes 02/01/2009 13:43:18
    AEHELP.DLL : 8.1.11.5 242038 Bytes 02/01/2009 13:43:13
    AEGEN.DLL : 8.1.3.10 377205 Bytes 02/01/2009 13:43:12
    AEEMU.DLL : 8.1.2.0 393588 Bytes 02/01/2009 13:43:11
    AECORE.DLL : 8.1.15.3 192886 Bytes 02/01/2009 13:43:11
    AEBB.DLL : 8.1.1.0 53618 Bytes 02/01/2009 13:43:10
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
    AVREP.DLL : 8.0.0.7 159784 Bytes 02/01/2009 13:43:24
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

    Début de la recherche : vendredi 18 juin 2010 22:03

    La recherche d'objets cachés commence.
    Impossible d'initialiser le pilote.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'searchindexer.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'BCU.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'BCUService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'nvsvc64.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
    '19' processus ont été contrôlés avec '19' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '52' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Documents and Settings\Administrator\My Documents\Downloads\UnDeadPatch333.rar
    [0] Type d'archive: RAR
    --> UnDeadPatch333.exe
    [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
    C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'D:\' <LECRYJULIEN>
    D:\CLE USB ALAIN\Counter-Strike.Source.Portable\Portable Counter-Strike - Source\Portable Counter-Strike Source by ZeroX.exe
    [0] Type d'archive: RAR SFX (self extracting)
    --> PCSS.exe
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    D:\CLE USB ALAIN\exe programme\anti virus,etc\kaspersky\Kaspersky 2009.exe
    [0] Type d'archive: CAB SFX (self extracting)
    --> \kav8.0.0.506fr.msi
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe

    [0] Type d'archive: RAR SFX (self extracting)
    --> nircmd.exe
    [RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2
    D:\Nouveau dossier\Téléchargements\AO2010ByJuju666.rar
    [0] Type d'archive: RAR
    --> MKMS1.2.exe
    [RESULTAT] Contient le modèle de détection du programme SPR/Tool.Keygen.36
    D:\Nouveau dossier\Téléchargements\MKMS1.2.exe
    [RESULTAT] Contient le modèle de détection du programme SPR/Tool.Keygen.36
    D:\System Volume Information\_restore{9292DD8B-7921-49F6-8A08-886168EA88B8}\RP163\A0025194.exe
    [0] Type d'archive: CAB SFX (self extracting)
    --> \kav8.0.0.506fr.msi
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

    Début de la désinfection :
    C:\Documents and Settings\Administrator\My Documents\Downloads\UnDeadPatch333.rar
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c5fdf5f.qua' !
    D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7cdf5d.qua' !
    D:\Nouveau dossier\Téléchargements\AO2010ByJuju666.rar
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4ddf40.qua' !
    D:\Nouveau dossier\Téléchargements\MKMS1.2.exe
    [RESULTAT] Contient le modèle de détection du programme SPR/Tool.Keygen.36
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c68df3c.qua' !

    Fin de la recherche : vendredi 18 juin 2010 23:02
    Temps nécessaire: 59:35 Minute(s)

    La recherche a été effectuée intégralement

    9880 Les répertoires ont été contrôlés
    854845 Des fichiers ont été contrôlés
    4 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    4 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    854839 Fichiers non infectés
    9928 Les archives ont été contrôlées
    8 Avertissements
    5 Consignes

    Je rebbot le pc et je réactive la restau système
    0
  18. Utilisateur anonyme
     
    bonjour les amiches :-)

    Gen n'est pas content car tu n'as pas la bonne version de kill'em !
    nicolas pareil !

    en plus, tu as un dropper sur ton pc !!!!

    que fais tu avec ce pc ???

    regarde un peu ceci :

    .
    .
    .
    C:\Documents and Settings\Administrator\My Documents\Downloads\UnDeadPatch333.rar
    [0] Type d'archive: RAR
    --> UnDeadPatch333.exe
    [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
    .
    .
    .
    D:\CLE USB ALAIN\Counter-Strike.Source.Portable\Portable Counter-Strike - Source\Portable Counter-Strike Source by ZeroX.exe
    [0] Type d'archive: RAR SFX (self extracting)
    --> PCSS.exe
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    D:\CLE USB ALAIN\exe programme\anti virus,etc\kaspersky\Kaspersky 2009.exe
    [0] Type d'archive: CAB SFX (self extracting)
    --> \kav8.0.0.506fr.msi
    D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe
    .
    .
    .


    ce que je ne comprends pas, c'est qu'il mette en quarantaine l'executable de Flash_Disinfector.exe !!!

    houuuu !! mdr
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Non.

    En fait le fameux dropper je l'avais oublié, c'est parce que je vais sur des sites de Warez (hou le vilain! Honte à moi!) (plutôt pour la mise en garde et la prévention, j'essaye de me racheter de cette mauvais conduite! lol) et en fait je l'avais téléchargé pour le vérifier. Ensuite il est resté là car je l'ai oublié! mais l'archive RAR n'a jamais été ouverte. Pas fou moi!

    Ah bon, moi je pensais qu'il s'agissait d'un FP!

    Pour les version de kill'em et de ZHP je ne savais pas. Il y a longtemps qu'ils sont sur le pc c'est juste.

    Je vais donc remettre en 40aine et deleter l'exe infecté!
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Ce que je fais avec le pc? Du surf. Un peu de programmation. J'étudie des malwares mais sur une VM ;-)

      J'apprend à désinfecter et du coup j'me chope des saloperies! Lol
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Tiens, pourquoi il met "[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé ! "

      Car il n'avait que le moteur qui tournait j'étais parti manger des frites xD
      0
  20. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    nouveau log:

    Avira AntiVir Personal
    Date de création du fichier de rapport : samedi 19 juin 2010 14:52

    La recherche porte sur 2227004 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP 64 Bit
    Version de Windows : (Service Pack 2) [5.2.3790]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : JUJU-666

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:42:21
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:42:35
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:42:39
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:42:46
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:42:57
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:43:07
    VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 13:43:07
    VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 13:43:07
    VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 13:43:07
    VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 13:43:07
    VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 13:43:07
    VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 13:43:07
    VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 13:11:18
    VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 17:18:27
    VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 15:30:01
    VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 15:30:01
    VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 15:30:01
    VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 15:30:01
    VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 15:30:01
    VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 15:30:01
    VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 15:30:01
    VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 15:30:01
    VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 15:30:01
    VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 15:30:01
    VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 15:30:01
    VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 15:30:01
    VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 15:30:02
    VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 15:30:02
    VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 15:30:02
    VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 15:30:02
    VBASE031.VDF : 7.10.8.126 93184 Bytes 18/06/2010 15:30:02
    Version du moteur : 8.2.2.6
    AEVDF.DLL : 8.1.2.0 106868 Bytes 02/01/2009 13:43:23
    AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/01/2009 13:43:23
    AESCN.DLL : 8.1.6.1 127347 Bytes 02/01/2009 13:43:21
    AESBX.DLL : 8.1.3.1 254324 Bytes 02/01/2009 13:43:23
    AERDL.DLL : 8.1.4.6 541043 Bytes 02/01/2009 13:43:20
    AEPACK.DLL : 8.2.1.1 426358 Bytes 02/01/2009 13:43:19
    AEOFFICE.DLL : 8.1.1.0 201081 Bytes 02/01/2009 13:43:18
    AEHEUR.DLL : 8.1.1.33 2724214 Bytes 02/01/2009 13:43:18
    AEHELP.DLL : 8.1.11.5 242038 Bytes 02/01/2009 13:43:13
    AEGEN.DLL : 8.1.3.10 377205 Bytes 02/01/2009 13:43:12
    AEEMU.DLL : 8.1.2.0 393588 Bytes 02/01/2009 13:43:11
    AECORE.DLL : 8.1.15.3 192886 Bytes 02/01/2009 13:43:11
    AEBB.DLL : 8.1.1.0 53618 Bytes 02/01/2009 13:43:10
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
    AVREP.DLL : 8.0.0.7 159784 Bytes 02/01/2009 13:43:24
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

    Début de la recherche : samedi 19 juin 2010 14:52

    La recherche d'objets cachés commence.
    Impossible d'initialiser le pilote.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'BCU.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'searchindexer.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'BCUService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'nvsvc64.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
    '17' processus ont été contrôlés avec '17' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '52' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'D:\' <LECRYJULIEN>
    D:\CLE USB ALAIN\Counter-Strike.Source.Portable\Portable Counter-Strike - Source\Portable Counter-Strike Source by ZeroX.exe
    [0] Type d'archive: RAR SFX (self extracting)
    --> PCSS.exe
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    D:\CLE USB ALAIN\exe programme\anti virus,etc\kaspersky\Kaspersky 2009.exe
    [0] Type d'archive: CAB SFX (self extracting)
    --> \kav8.0.0.506fr.msi
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe

    [0] Type d'archive: RAR SFX (self extracting)
    --> nircmd.exe
    [RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2
    D:\System Volume Information\_restore{9292DD8B-7921-49F6-8A08-886168EA88B8}\RP163\A0025194.exe
    [0] Type d'archive: CAB SFX (self extracting)
    --> \kav8.0.0.506fr.msi
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

    Début de la désinfection :
    D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7dcf3a.qua' !

    Fin de la recherche : samedi 19 juin 2010 16:06
    Temps nécessaire: 1:04:23 Heure(s)

    La recherche a été effectuée intégralement

    9955 Les répertoires ont été contrôlés
    854969 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    854966 Fichiers non infectés
    9951 Les archives ont été contrôlées
    8 Avertissements
    2 Consignes

    D:\LES INCLASSABLES\DIVERS\CLE USB JUJU\TOOLS DESINFECTION\Flash_Disinfector.exe

    [0] Type d'archive: RAR SFX (self extracting)
    --> nircmd.exe
    [RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.2 <- c'est un FP ! :D

    Je réactive la restau!
    0
  • 1
  • 2