Virus type rootkit
Résolu
mimoire
-
gen-hackman -
gen-hackman -
A voir également:
- Virus type rootkit
- Virus mcafee - Accueil - Piratage
- Clear type - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
190 réponses
Ok, j'étais quasiment sûr que c'était bagle.
Pas besoin de reformater ton ordi, fais ceci :
-+-+-+-+-> Findykill - Recherche <-+-+-+-+-
Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P. Plus d'informations sur l'infection ici
[x] Télécharge Findykill ( d'El desaparecido ) | Miroir.
/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\
[x] Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
[x] Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
[x] Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
[x] A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
-> Un tutoriel pour l'utilisation de findykill est disponible ici.
Pas besoin de reformater ton ordi, fais ceci :
-+-+-+-+-> Findykill - Recherche <-+-+-+-+-
Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P. Plus d'informations sur l'infection ici
[x] Télécharge Findykill ( d'El desaparecido ) | Miroir.
/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\
[x] Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
[x] Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
[x] Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
[x] A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
-> Un tutoriel pour l'utilisation de findykill est disponible ici.
-+-+-+-+-> Findykill - Suppression <-+-+-+-+-
[x] Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).
[x] Le PC va redémarrer et findykill se lancera au démarrage.
[x] Patiente pendant le scan jusqu'à l'ouverture d'un rapport.
[x] Copie/Colle le contenu du rapport dans ta prochaine réponse.
Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
-> Un tutoriel pour l'utilisation de findykill ( suppression ) est disponible ici.
-> Si le bureau ne réapparaît pas après l'utilisation de findykill, appuie simultanément sur CTRL ALT SUPPR. A l'onglet "Applications", clique sur [Nouvelle tâche]. Tape "explorer.exe" ( sans les guillemets ) puis [Ok].
[x] Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).
[x] Le PC va redémarrer et findykill se lancera au démarrage.
[x] Patiente pendant le scan jusqu'à l'ouverture d'un rapport.
[x] Copie/Colle le contenu du rapport dans ta prochaine réponse.
Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
-> Un tutoriel pour l'utilisation de findykill ( suppression ) est disponible ici.
-> Si le bureau ne réapparaît pas après l'utilisation de findykill, appuie simultanément sur CTRL ALT SUPPR. A l'onglet "Applications", clique sur [Nouvelle tâche]. Tape "explorer.exe" ( sans les guillemets ) puis [Ok].
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Dans le setup du pc j'ai:
First boot device CDROM
Second boot device: Floppy
Third boot device: HDD-0
donc à mon avis le PC devrait tenter de démarrer d'abord sur cdrom
First boot device CDROM
Second boot device: Floppy
Third boot device: HDD-0
donc à mon avis le PC devrait tenter de démarrer d'abord sur cdrom
Salut,
Tu as le nom du "rootkit" en question?
Sinon, décris précisément tout les symptômes que tu as.
Et est ce qu'il t'es encore possible de lancer des applications sur le PC?
Tu as le nom du "rootkit" en question?
Sinon, décris précisément tout les symptômes que tu as.
Et est ce qu'il t'es encore possible de lancer des applications sur le PC?
Le rootkit doit etre: Rootkit.bagle.gen
et peut etre win32.bagle SUQ@mm
oui il y a des applications qui fonctionnent encore.
et peut etre win32.bagle SUQ@mm
oui il y a des applications qui fonctionnent encore.
voila le rapport:
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 03:05:18 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,44 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
############################## | Processus infectieux stoppés |
"C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe" (1736)
"C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe" (1760)
"C:\WINDOWS\wintems.exe" (2356)
################## | Eléments infectieux |
C:\WINDOWS\ban_list.txt
C:\WINDOWS\mdelk.exe
C:\WINDOWS\wintems.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\Documents and Settings\jean terrien\Application Data\drivers
C:\Documents and Settings\jean terrien\Application Data\drivers\downld
C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe
C:\Documents and Settings\jean terrien\Application Data\m
C:\Documents and Settings\jean terrien\Application Data\m\data.oct
C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe
C:\Documents and Settings\jean terrien\Application Data\m\list.oct
C:\Documents and Settings\jean terrien\Application Data\m\srvlist.oct
C:\Documents and Settings\jean terrien\Application Data\m\shared
C:\Documents and Settings\jean terrien\Local Settings\Temporary Internet Files\Content.IE5\CX2R0TQR\servernames[1].html
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet002\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 03:05:18 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,44 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
############################## | Processus infectieux stoppés |
"C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe" (1736)
"C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe" (1760)
"C:\WINDOWS\wintems.exe" (2356)
################## | Eléments infectieux |
C:\WINDOWS\ban_list.txt
C:\WINDOWS\mdelk.exe
C:\WINDOWS\wintems.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\Documents and Settings\jean terrien\Application Data\drivers
C:\Documents and Settings\jean terrien\Application Data\drivers\downld
C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe
C:\Documents and Settings\jean terrien\Application Data\m
C:\Documents and Settings\jean terrien\Application Data\m\data.oct
C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe
C:\Documents and Settings\jean terrien\Application Data\m\list.oct
C:\Documents and Settings\jean terrien\Application Data\m\srvlist.oct
C:\Documents and Settings\jean terrien\Application Data\m\shared
C:\Documents and Settings\jean terrien\Local Settings\Temporary Internet Files\Content.IE5\CX2R0TQR\servernames[1].html
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet002\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
nouveau rapport apres valitation de l'option 2 "nettoyage" .J'avais aussi oublié une clef USB.
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:33:13 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,48 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32
################## | Eléments infectieux |
################## | Registre |
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:33:13 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,48 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32
################## | Eléments infectieux |
################## | Registre |
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
merci pour ton aide. Voici le rapport:
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 11:07:32 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,47 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32
################## | Eléments infectieux |
################## | Registre |
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 11:07:32 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,47 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32
################## | Eléments infectieux |
################## | Registre |
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
l'option 2 démarre corectement: redémarrage PC, scan, il se ferme au moment du scan des fichiers zip
Ok, on va faire autrement.
-+-+-+-+-> OtMoveIt <-+-+-+-+-
[x] Télécharge OtMoveIt sur ton bureau.
[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".
[x] Clique maintenant sur " MoveIt! "
[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.
---------------------------------------------------
-+-+-+-+-> ComboFix <-+-+-+-
[x] Télécharge ComboFix ( de sUBs ) à cette adresse.
[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\
[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
[x] Double clique sur " Combofix.exe "
[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le
[x] Pendant le scan, ne touche à rien ( souris, clavier )
[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
-+-+-+-+-> OtMoveIt <-+-+-+-+-
[x] Télécharge OtMoveIt sur ton bureau.
[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".
:services sK9Ou0s srosa :reg [-HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s] [-HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s] [-HKLM\SYSTEM\ControlSet001\Services\srosa] [-HKLM\SYSTEM\ControlSet003\Services\srosa] [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S] [-HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S] [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] [-HKCU\Software\bisoft] [-HKCU\Software\DateTime4] [-HKCU\Software\MuleAppData] [-HKCU\Software\WS4001] [-HKCR\ed2k] [-HKCU\Software\Classes\ed2k] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"=- [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"=- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"=- [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"=- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"=- [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"=- [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData] [-HKCU\Software\Local AppWizard-Generated Applications\key_generator] [-HKCU\Software\Local AppWizard-Generated Applications\winupgro] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro] :commands [emptytemp]
[x] Clique maintenant sur " MoveIt! "
[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.
---------------------------------------------------
-+-+-+-+-> ComboFix <-+-+-+-
[x] Télécharge ComboFix ( de sUBs ) à cette adresse.
[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\
[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
[x] Double clique sur " Combofix.exe "
[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le
[x] Pendant le scan, ne touche à rien ( souris, clavier )
[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
