Virus type rootkit - Page 6
Résolu
Précédent
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Suivant
dommage T cleaner a été exécuté/
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\jean terrien\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger\avenger.exe: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.log: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\jean terrien\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\jean terrien\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\jean terrien\Bureau\avenger\avenger.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.log: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\jean terrien\Bureau\avenger: supprimé !
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\jean terrien\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger: trouvé !
C:\Documents and Settings\jean terrien\Bureau\avenger\avenger.exe: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.log: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\jean terrien\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\jean terrien\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\jean terrien\Bureau\avenger\avenger.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\jean terrien\Bureau\Rsit.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.log: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\jean terrien\Bureau\avenger: supprimé !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
j'ai peut etre une info qui peux vous aider:
quand je telecharge un fichier il se place dans un répertoire "tetechargement. lorsque je fais un glisser sur le bureau il y a un lancement de l'instalation de "easy cd créator" que j'annule plusieurs fois . le fichier place sur le bureau ne s'execute que si je redemare l'ordi
quand je telecharge un fichier il se place dans un répertoire "tetechargement. lorsque je fais un glisser sur le bureau il y a un lancement de l'instalation de "easy cd créator" que j'annule plusieurs fois . le fichier place sur le bureau ne s'execute que si je redemare l'ordi
fais quand meme ceci , tu auras un message d'erreur à la fin , ignore-le et envoie le rapport
https://forums.commentcamarche.net/forum/affich-18249294-virus-type-rootkit?full#117
?G3?-?@¢??@?(TM)©®?
https://forums.commentcamarche.net/forum/affich-18249294-virus-type-rootkit?full#117
?G3?-?@¢??@?(TM)©®?
le rapport kill'em
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.3 ¤¤¤¤¤¤¤¤¤¤
User : jean terrien (Administrateurs)
Update on 21/06/2010 by g3n-h@ckm@n ::::: 14.30
Start at: 20:05:12 | 25/06/2010
AMD Athlon(tm) XP 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 149,04 Go (136,69 Go free) | NTFS
D:\ -> Disque amovible | 969,69 Mo (105,45 Mo free) | FAT
E:\ -> Disque amovible | 62,31 Mo (3,45 Mo free) | FAT
F:\ -> Disque amovible | 3,83 Go (2,97 Go free) [CLE USB] | FAT32
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)
C:\WINDOWS\System32\smss.exe----400 Ko
C:\WINDOWS\system32\csrss.exe----3472 Ko
C:\WINDOWS\system32\winlogon.exe----3688 Ko
C:\WINDOWS\system32\services.exe----3476 Ko
C:\WINDOWS\system32\lsass.exe----6100 Ko
C:\WINDOWS\system32\svchost.exe----4760 Ko
C:\WINDOWS\system32\svchost.exe----4080 Ko
C:\WINDOWS\System32\svchost.exe----20268 Ko
C:\WINDOWS\System32\svchost.exe----2832 Ko
C:\WINDOWS\system32\svchost.exe----2896 Ko
C:\WINDOWS\system32\spoolsv.exe----4764 Ko
C:\WINDOWS\system32\logonui.exe----1612 Ko
C:\WINDOWS\Explorer.EXE----10716 Ko
C:\WINDOWS\System32\svchost.exe----3312 Ko
C:\Program Files\Application Updater\ApplicationUpdater.exe----2440 Ko
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe----1736 Ko
C:\Program Files\Java\jre6\bin\jqs.exe----9320 Ko
C:\Program Files\CDBurnerXP\NMSAccessU.exe----1796 Ko
C:\WINDOWS\System32\svchost.exe----4048 Ko
C:\WINDOWS\system32\MsPMSPSv.exe----1508 Ko
C:\WINDOWS\system32\wuauclt.exe----6672 Ko
C:\WINDOWS\system32\cmd.exe----1816 Ko
C:\WINDOWS\System32\alg.exe----3480 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe----6676 Ko
C:\WINDOWS\system32\wscntfy.exe----1952 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE----3048 Ko
C:\Program Files\List_Kill'em\pv.exe----2688 Ko
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SETA.tmp
Quarantined & Deleted !! : C:\WINDOWS\inf\nt5java.inf
Quarantined & Deleted !! : C:\Documents and Settings\jean terrien\Application Data\Search Settings
Quarantined & Deleted !! : C:\Documents and Settings\jean terrien\LOCAL Settings\Temp\~gu-ver.dat
=======
Hosts :
=======
127.0.0.1 localhost
========
Registry
========
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}"
Deleted : "HKCU\Software\Search Settings"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : "HKLM\Software\Search Settings"
=================
Internet Explorer
=================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
===============
Security Center
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)
========
Services
=========
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.1.3 ¤¤¤¤¤¤¤¤¤¤
User : jean terrien (Administrateurs)
Update on 21/06/2010 by g3n-h@ckm@n ::::: 14.30
Start at: 20:05:12 | 25/06/2010
AMD Athlon(tm) XP 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 149,04 Go (136,69 Go free) | NTFS
D:\ -> Disque amovible | 969,69 Mo (105,45 Mo free) | FAT
E:\ -> Disque amovible | 62,31 Mo (3,45 Mo free) | FAT
F:\ -> Disque amovible | 3,83 Go (2,97 Go free) [CLE USB] | FAT32
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)
C:\WINDOWS\System32\smss.exe----400 Ko
C:\WINDOWS\system32\csrss.exe----3472 Ko
C:\WINDOWS\system32\winlogon.exe----3688 Ko
C:\WINDOWS\system32\services.exe----3476 Ko
C:\WINDOWS\system32\lsass.exe----6100 Ko
C:\WINDOWS\system32\svchost.exe----4760 Ko
C:\WINDOWS\system32\svchost.exe----4080 Ko
C:\WINDOWS\System32\svchost.exe----20268 Ko
C:\WINDOWS\System32\svchost.exe----2832 Ko
C:\WINDOWS\system32\svchost.exe----2896 Ko
C:\WINDOWS\system32\spoolsv.exe----4764 Ko
C:\WINDOWS\system32\logonui.exe----1612 Ko
C:\WINDOWS\Explorer.EXE----10716 Ko
C:\WINDOWS\System32\svchost.exe----3312 Ko
C:\Program Files\Application Updater\ApplicationUpdater.exe----2440 Ko
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe----1736 Ko
C:\Program Files\Java\jre6\bin\jqs.exe----9320 Ko
C:\Program Files\CDBurnerXP\NMSAccessU.exe----1796 Ko
C:\WINDOWS\System32\svchost.exe----4048 Ko
C:\WINDOWS\system32\MsPMSPSv.exe----1508 Ko
C:\WINDOWS\system32\wuauclt.exe----6672 Ko
C:\WINDOWS\system32\cmd.exe----1816 Ko
C:\WINDOWS\System32\alg.exe----3480 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe----6676 Ko
C:\WINDOWS\system32\wscntfy.exe----1952 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE----3048 Ko
C:\Program Files\List_Kill'em\pv.exe----2688 Ko
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SETA.tmp
Quarantined & Deleted !! : C:\WINDOWS\inf\nt5java.inf
Quarantined & Deleted !! : C:\Documents and Settings\jean terrien\Application Data\Search Settings
Quarantined & Deleted !! : C:\Documents and Settings\jean terrien\LOCAL Settings\Temp\~gu-ver.dat
=======
Hosts :
=======
127.0.0.1 localhost
========
Registry
========
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}"
Deleted : "HKCU\Software\Search Settings"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : "HKLM\Software\Search Settings"
=================
Internet Explorer
=================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
===============
Security Center
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)
========
Services
=========
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
vous devez en avoir "ras le bol" peut etre on peux continuer demain? si vous trouvez mon idée bonne!
pas question de ras le bol c'est tout simplement que la reflexion demande du temps et c'est une maniere de te dire que ton message a été vu :)
ok je viens de relire ces derniers posts et la modification souhaitée a été apportée :)
rééssaie Findykill option suppression maintenant
rééssaie Findykill option suppression maintenant
meme chose que les autres fois. arret de findykill avant la fin et donc pas de rapport.
bonne soirée tout de meme.
bonne soirée tout de meme.
si, dans la racine c: j'ai le fichier texte FyK.txt. je le colle ici:
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:05:20 | 26/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Disabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (136,56 Go free) # NTFS
################## | Eléments infectieux |
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf
################## | MD5 ... |
################## | CRC32 ... |
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:05:20 | 26/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Disabled
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (136,56 Go free) # NTFS
################## | Eléments infectieux |
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf
################## | MD5 ... |
################## | CRC32 ... |
Précédent
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Suivant
