[Infection lop] Iexplorer.exe
cliro
-
cliro -
cliro -
Bonjour,
Depuis maintenant deux jours mon PC est infecté par une lop assez classique qui ouvre un processus Iexplorer.exe qui bouffe 60k de mémoire virtuelle, coupe le son wave de la carte mère à intervalles réguliers, et de temps à autre ouvre une fenetre iexplorer (que je n'utilise pas).
Après lecture de nombreux topics, j'ai effectué un scan HijackThis, redémarré en mode sans échec et passé un coup de CCleaner. Le problème est toujours là (scan antivir et spybot, sans résultats).
J'aimerais beaucoup que les gens qui s'y connaissent me disent où je peux trouver le fichier source de l'infection (j'ai peur de ne pas reconnaitre un truc indispensable et de le supprimer :s).
Je me permets donc de poster le log HJT à la suite, et me tiens à votre disposition pour plus amples renseignements.
Cordialement.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:57, on 09/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Bill2's Process Manager\ProcessManager.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Q3E Minimizer v1.51\Q3E Minimizer_v1.51.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=14978&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKCU\..\Run: [ProcessManager] C:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Q3E Minimizer v1.51] C:\Program Files\Q3E Minimizer v1.51\Q3E Minimizer_v1.51.EXE
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Depuis maintenant deux jours mon PC est infecté par une lop assez classique qui ouvre un processus Iexplorer.exe qui bouffe 60k de mémoire virtuelle, coupe le son wave de la carte mère à intervalles réguliers, et de temps à autre ouvre une fenetre iexplorer (que je n'utilise pas).
Après lecture de nombreux topics, j'ai effectué un scan HijackThis, redémarré en mode sans échec et passé un coup de CCleaner. Le problème est toujours là (scan antivir et spybot, sans résultats).
J'aimerais beaucoup que les gens qui s'y connaissent me disent où je peux trouver le fichier source de l'infection (j'ai peur de ne pas reconnaitre un truc indispensable et de le supprimer :s).
Je me permets donc de poster le log HJT à la suite, et me tiens à votre disposition pour plus amples renseignements.
Cordialement.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:57, on 09/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Bill2's Process Manager\ProcessManager.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Q3E Minimizer v1.51\Q3E Minimizer_v1.51.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=14978&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKCU\..\Run: [ProcessManager] C:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Q3E Minimizer v1.51] C:\Program Files\Q3E Minimizer v1.51\Q3E Minimizer_v1.51.EXE
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
A voir également:
- [Infection lop] Iexplorer.exe
- [Pnkbstra]infection ✓ - Forum Virus
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
- Techscam...infection ✓ - Forum Virus
- Infection ad.doubleclick.net ✓ - Forum Virus
9 réponses
salut.....?
* Télécharge ici : USBFIX sur ton bureau
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
« Recherche »
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Télécharge ici : USBFIX sur ton bureau
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
« Recherche »
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Voici le rapport d'Usbfix :
############################## | UsbFix 7.016 | [Recherche]
Utilisateur: Administrateur (Administrateur) # B9A270A5522B4B6 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 18:59:27 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | (!) Outdated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (72 Go libre(s) - 31%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 149 Go (24 Go libre(s) - 16%) [WD Passport] # FAT32
F:\ -> Disque amovible # 2 Go (814 Mo libre(s) - 43%) [] # FAT32
################## | Éléments infectieux |
Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aae.exe
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{8fb0b6d5-e4ce-11de-ad9f-001fd08a1439}
Shell\AutoRun\Command = WDSetup.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
// Le problème ne serait pas par là : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aae.exe ??
############################## | UsbFix 7.016 | [Recherche]
Utilisateur: Administrateur (Administrateur) # B9A270A5522B4B6 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 18:59:27 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | (!) Outdated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (72 Go libre(s) - 31%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 149 Go (24 Go libre(s) - 16%) [WD Passport] # FAT32
F:\ -> Disque amovible # 2 Go (814 Mo libre(s) - 43%) [] # FAT32
################## | Éléments infectieux |
Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aae.exe
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{8fb0b6d5-e4ce-11de-ad9f-001fd08a1439}
Shell\AutoRun\Command = WDSetup.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
// Le problème ne serait pas par là : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aae.exe ??
▶ (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
▶ Ton bureau disparaitra et le pc redémarrera .
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
▶ Ton bureau disparaitra et le pc redémarrera .
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
J'ai pris USBfix sur le lien que vous m'avez proposé au début, mais même en choisissant l'option "suppression", le PC ne reboot pas. Voici tout de même le log (les "aaa" sont les noms de dossiers persos) :
############################## | UsbFix 7.016 | [Suppression]
Utilisateur: Administrateur (Administrateur) # B9A270A5522B4B6 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 20:40:33 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | (!) Outdated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (74 Go libre(s) - 32%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 149 Go (27 Go libre(s) - 18%) [WD Passport] # FAT32
F:\ -> Disque amovible # 2 Go (814 Mo libre(s) - 43%) [] # FAT32
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
################## | Listing |
[14/11/2009 - 14:45:01 | D ] C:\11759435d6faa104e799
[05/01/2010 - 22:36:45 | D ] C:\Adobe Illustrator 10
[13/11/2009 - 21:25:11 | A | 0] C:\AUTOEXEC.BAT
[09/07/2010 - 20:15:53 | RASHD ] C:\Autorun.inf
[09/07/2010 - 17:10:45 | SH | 212] C:\boot.ini
[03/05/2008 - 00:57:00 | RASH | 4952] C:\Bootfont.bin
[13/11/2009 - 21:25:11 | A | 0] C:\CONFIG.SYS
[13/11/2009 - 21:53:49 | A | 197] C:\csb.log
[13/11/2009 - 21:38:35 | D ] C:\Documents and Settings
[13/11/2009 - 21:41:07 | D ] C:\Intel
[13/11/2009 - 21:25:11 | RASH | 0] C:\IO.SYS
[09/07/2010 - 17:06:38 | D ] C:\Lop SD
[09/07/2010 - 17:06:38 | A | 8892] C:\lopR.txt
[13/11/2009 - 21:25:11 | RASH | 0] C:\MSDOS.SYS
[09/07/2010 - 18:47:46 | D ] C:\MyAudio
[03/05/2008 - 00:57:00 | RASH | 47564] C:\NTDETECT.COM
[03/05/2008 - 00:57:00 | RASH | 252240] C:\ntldr
[09/07/2010 - 20:08:36 | ASH | 2145386496] C:\pagefile.sys
[09/07/2010 - 20:08:47 | D ] C:\Program Files
[26/10/2009 - 08:49:06 | D ] C:\Realtek
[09/07/2010 - 20:40:58 | SHD ] C:\RECYCLER
[13/11/2009 - 21:43:30 | A | 140] C:\RHDSetup.log
[13/11/2009 - 21:38:33 | SHD ] C:\System Volume Information
[03/03/2010 - 02:02:10 | D ] C:\Unreal Anthology
[09/07/2010 - 20:41:07 | D ] C:\UsbFix
[09/07/2010 - 20:41:07 | A | 946] C:\UsbFix.txt
[09/07/2010 - 19:46:47 | D ] C:\WINDOWS
[17/12/2008 - 10:29:12 | SHD ] E:\FOUND.000
[09/06/2010 - 09:06:30 | SHD ] E:\FOUND.001
[01/09/2007 - 20:50:34 | D ] E:\autorun
[04/09/2006 - 16:11:28 | A | 4347904] E:\WDSync.exe
[17/11/2007 - 21:51:52 | SHD ] E:\System Volume Information
[24/04/2010 - 17:32:02 | D ] E:\Movies
[09/12/2007 - 18:21:36 | SHD ] E:\Recycled
[01/01/2001 - 00:06:14 | ASH | 16384] E:\Thumbs.db
[16/11/2008 - 17:32:16 | SHD ] E:\$RECYCLE.BIN
[19/02/2010 - 18:27:36 | D ] E:\Records
[07/03/2009 - 02:35:12 | A | 868904] E:\crypte_2.pk3
[18/03/2010 - 16:03:24 | D ] E:\aaa
[27/01/2009 - 18:40:30 | D ] E:\aaa
[18/03/2010 - 22:17:38 | D ] E:\Mes documents
[29/08/2009 - 04:35:38 | D ] E:\aaa
[02/11/2009 - 13:31:46 | D ] E:\aaa
[19/03/2010 - 22:59:38 | D ] E:\aaa
[20/03/2010 - 12:28:44 | D ] E:\aaa
[20/03/2010 - 02:50:38 | D ] E:\aaa
[07/06/2010 - 23:48:12 | D ] E:\aaa
[19/03/2010 - 22:53:32 | D ] E:\aaa
[16/03/2010 - 18:40:08 | D ] E:\aaa
[18/03/2010 - 22:09:42 | A | 14156] E:\aaa
[19/12/2009 - 13:46:38 | D ] E:\aaa
[10/06/2010 - 17:06:36 | D ] E:\aaa
[10/12/2009 - 20:44:50 | D ] E:\aaa
[15/06/2010 - 02:47:38 | D ] E:\aaa
[16/06/2010 - 15:55:24 | D ] E:\aaa
[21/06/2010 - 13:32:36 | A | 762368] E:\aaa
[30/06/2010 - 15:33:20 | A | 131072] E:\aaa
[03/05/2010 - 18:55:50 | D ] E:\aaa
[24/06/2010 - 19:33:02 | D ] E:\aaa
[09/07/2010 - 20:15:54 | RASHD ] E:\Autorun.inf
[27/12/2002 - 18:44:58 | AH | 4194304] F:\STDBSTR.DAT
[27/12/2002 - 18:44:58 | AH | 10296] F:\STDBSTR.IDX
[27/12/2002 - 18:44:58 | AH | 3883008] F:\STDBDATA.DAT
[27/12/2002 - 18:44:58 | AH | 1008] F:\STDBDATA.IDX
[27/12/2002 - 18:44:58 | AH | 703] F:\SETTINGS.DAT
[27/12/2002 - 18:44:58 | AH | 505985] F:\RAMLIST.DAT
[13/11/2009 - 23:00:58 | D ] F:\ATB
[18/02/2010 - 17:04:30 | A | 13981] F:\aaa
[13/11/2009 - 23:06:18 | D ] F:\aaa
[14/05/2010 - 14:19:42 | D ] F:\aaa
[13/06/2010 - 03:24:18 | D ] F:\aaa
[12/04/2010 - 15:51:12 | D ] F:\aaa
[18/02/2010 - 18:32:00 | D ] F:\aaa
[13/11/2009 - 23:03:56 | D ] F:\aaa
[04/02/2010 - 21:06:08 | D ] F:\aaa
[31/05/2010 - 15:46:44 | D ] F:\aaa
[14/06/2010 - 01:02:12 | D ] F:\aaa
[13/11/2009 - 23:02:28 | D ] F:\aaa
[16/06/2010 - 15:55:24 | D ] F:\aaa
[13/11/2009 - 23:06:36 | D ] F:\aaa
[13/11/2009 - 22:05:28 | D ] F:\aaa
[09/07/2010 - 20:15:54 | RASHD ] F:\Autorun.inf
[03/01/2010 - 12:11:24 | D ] F:\aaa
[27/12/2002 - 18:44:58 | AD ] F:\aaa
[22/06/2010 - 16:23:44 | A | 94208] F:\aaa
[23/06/2010 - 23:31:30 | D ] F:\aaa
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | E.O.F |
############################## | UsbFix 7.016 | [Suppression]
Utilisateur: Administrateur (Administrateur) # B9A270A5522B4B6 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 20:40:33 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | (!) Outdated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (74 Go libre(s) - 32%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 149 Go (27 Go libre(s) - 18%) [WD Passport] # FAT32
F:\ -> Disque amovible # 2 Go (814 Mo libre(s) - 43%) [] # FAT32
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
################## | Listing |
[14/11/2009 - 14:45:01 | D ] C:\11759435d6faa104e799
[05/01/2010 - 22:36:45 | D ] C:\Adobe Illustrator 10
[13/11/2009 - 21:25:11 | A | 0] C:\AUTOEXEC.BAT
[09/07/2010 - 20:15:53 | RASHD ] C:\Autorun.inf
[09/07/2010 - 17:10:45 | SH | 212] C:\boot.ini
[03/05/2008 - 00:57:00 | RASH | 4952] C:\Bootfont.bin
[13/11/2009 - 21:25:11 | A | 0] C:\CONFIG.SYS
[13/11/2009 - 21:53:49 | A | 197] C:\csb.log
[13/11/2009 - 21:38:35 | D ] C:\Documents and Settings
[13/11/2009 - 21:41:07 | D ] C:\Intel
[13/11/2009 - 21:25:11 | RASH | 0] C:\IO.SYS
[09/07/2010 - 17:06:38 | D ] C:\Lop SD
[09/07/2010 - 17:06:38 | A | 8892] C:\lopR.txt
[13/11/2009 - 21:25:11 | RASH | 0] C:\MSDOS.SYS
[09/07/2010 - 18:47:46 | D ] C:\MyAudio
[03/05/2008 - 00:57:00 | RASH | 47564] C:\NTDETECT.COM
[03/05/2008 - 00:57:00 | RASH | 252240] C:\ntldr
[09/07/2010 - 20:08:36 | ASH | 2145386496] C:\pagefile.sys
[09/07/2010 - 20:08:47 | D ] C:\Program Files
[26/10/2009 - 08:49:06 | D ] C:\Realtek
[09/07/2010 - 20:40:58 | SHD ] C:\RECYCLER
[13/11/2009 - 21:43:30 | A | 140] C:\RHDSetup.log
[13/11/2009 - 21:38:33 | SHD ] C:\System Volume Information
[03/03/2010 - 02:02:10 | D ] C:\Unreal Anthology
[09/07/2010 - 20:41:07 | D ] C:\UsbFix
[09/07/2010 - 20:41:07 | A | 946] C:\UsbFix.txt
[09/07/2010 - 19:46:47 | D ] C:\WINDOWS
[17/12/2008 - 10:29:12 | SHD ] E:\FOUND.000
[09/06/2010 - 09:06:30 | SHD ] E:\FOUND.001
[01/09/2007 - 20:50:34 | D ] E:\autorun
[04/09/2006 - 16:11:28 | A | 4347904] E:\WDSync.exe
[17/11/2007 - 21:51:52 | SHD ] E:\System Volume Information
[24/04/2010 - 17:32:02 | D ] E:\Movies
[09/12/2007 - 18:21:36 | SHD ] E:\Recycled
[01/01/2001 - 00:06:14 | ASH | 16384] E:\Thumbs.db
[16/11/2008 - 17:32:16 | SHD ] E:\$RECYCLE.BIN
[19/02/2010 - 18:27:36 | D ] E:\Records
[07/03/2009 - 02:35:12 | A | 868904] E:\crypte_2.pk3
[18/03/2010 - 16:03:24 | D ] E:\aaa
[27/01/2009 - 18:40:30 | D ] E:\aaa
[18/03/2010 - 22:17:38 | D ] E:\Mes documents
[29/08/2009 - 04:35:38 | D ] E:\aaa
[02/11/2009 - 13:31:46 | D ] E:\aaa
[19/03/2010 - 22:59:38 | D ] E:\aaa
[20/03/2010 - 12:28:44 | D ] E:\aaa
[20/03/2010 - 02:50:38 | D ] E:\aaa
[07/06/2010 - 23:48:12 | D ] E:\aaa
[19/03/2010 - 22:53:32 | D ] E:\aaa
[16/03/2010 - 18:40:08 | D ] E:\aaa
[18/03/2010 - 22:09:42 | A | 14156] E:\aaa
[19/12/2009 - 13:46:38 | D ] E:\aaa
[10/06/2010 - 17:06:36 | D ] E:\aaa
[10/12/2009 - 20:44:50 | D ] E:\aaa
[15/06/2010 - 02:47:38 | D ] E:\aaa
[16/06/2010 - 15:55:24 | D ] E:\aaa
[21/06/2010 - 13:32:36 | A | 762368] E:\aaa
[30/06/2010 - 15:33:20 | A | 131072] E:\aaa
[03/05/2010 - 18:55:50 | D ] E:\aaa
[24/06/2010 - 19:33:02 | D ] E:\aaa
[09/07/2010 - 20:15:54 | RASHD ] E:\Autorun.inf
[27/12/2002 - 18:44:58 | AH | 4194304] F:\STDBSTR.DAT
[27/12/2002 - 18:44:58 | AH | 10296] F:\STDBSTR.IDX
[27/12/2002 - 18:44:58 | AH | 3883008] F:\STDBDATA.DAT
[27/12/2002 - 18:44:58 | AH | 1008] F:\STDBDATA.IDX
[27/12/2002 - 18:44:58 | AH | 703] F:\SETTINGS.DAT
[27/12/2002 - 18:44:58 | AH | 505985] F:\RAMLIST.DAT
[13/11/2009 - 23:00:58 | D ] F:\ATB
[18/02/2010 - 17:04:30 | A | 13981] F:\aaa
[13/11/2009 - 23:06:18 | D ] F:\aaa
[14/05/2010 - 14:19:42 | D ] F:\aaa
[13/06/2010 - 03:24:18 | D ] F:\aaa
[12/04/2010 - 15:51:12 | D ] F:\aaa
[18/02/2010 - 18:32:00 | D ] F:\aaa
[13/11/2009 - 23:03:56 | D ] F:\aaa
[04/02/2010 - 21:06:08 | D ] F:\aaa
[31/05/2010 - 15:46:44 | D ] F:\aaa
[14/06/2010 - 01:02:12 | D ] F:\aaa
[13/11/2009 - 23:02:28 | D ] F:\aaa
[16/06/2010 - 15:55:24 | D ] F:\aaa
[13/11/2009 - 23:06:36 | D ] F:\aaa
[13/11/2009 - 22:05:28 | D ] F:\aaa
[09/07/2010 - 20:15:54 | RASHD ] F:\Autorun.inf
[03/01/2010 - 12:11:24 | D ] F:\aaa
[27/12/2002 - 18:44:58 | AD ] F:\aaa
[22/06/2010 - 16:23:44 | A | 94208] F:\aaa
[23/06/2010 - 23:31:30 | D ] F:\aaa
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | E.O.F |
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Toutes mes excuses pour le forme "lourde" du post des logs.
Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201007/cijt28h78A.txt
OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201007/cij2QbsEdG.txt
Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201007/cijt28h78A.txt
OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201007/cij2QbsEdG.txt
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
▶ Télécharge List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer Shortcut
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
▶ laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶ Fais de même avec more.txt qui se trouve sur ton bureau
▶ Télécharge List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer Shortcut
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
▶ laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶ Fais de même avec more.txt qui se trouve sur ton bureau
Tu as dû le voir mais c'est un Windows Version nLite non officielle