Es-ce que c'est bien nettoyé ? (worm)
Résolu
joeledemago
Messages postés
9
Date d'inscription
Statut
Membre
Dernière intervention
-
Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
JE me suis battu avec le vers Bagle (flec003.exe) et autre sur un poste qui n'avait plus d'antivirus ni de mise à jour windows depuis 3 ans.
Après des lancements successif de SpyBot et Malware, puis la remise à niveau de windows, et installation d'avast, il continue de réapparaitre sous d'autres formes (flec006, ...).
Bref, pouvez me dire maintenant à la lecture de ce rapport HiJack, s'il est définitivement parti ?
merci d'avance pour votre aide;
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:00:19, on 12/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\mrt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Documents and Settings\Administrateur\Mes documents\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=5070621
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row-rel/fr/side.html?channel=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=5070621
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.*;192.168.0.*;82.251.85.*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5C2D50B-F6F6-4BD2-BB0E-4E175F3703BB}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
End of file - 11881 bytes
JE me suis battu avec le vers Bagle (flec003.exe) et autre sur un poste qui n'avait plus d'antivirus ni de mise à jour windows depuis 3 ans.
Après des lancements successif de SpyBot et Malware, puis la remise à niveau de windows, et installation d'avast, il continue de réapparaitre sous d'autres formes (flec006, ...).
Bref, pouvez me dire maintenant à la lecture de ce rapport HiJack, s'il est définitivement parti ?
merci d'avance pour votre aide;
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:00:19, on 12/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\mrt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Documents and Settings\Administrateur\Mes documents\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=5070621
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row-rel/fr/side.html?channel=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=5070621
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.*;192.168.0.*;82.251.85.*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5C2D50B-F6F6-4BD2-BB0E-4E175F3703BB}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
End of file - 11881 bytes
A voir également:
- Es-ce que c'est bien nettoyé ? (worm)
- Tapez cette phrase, en respectant bien les espaces et la ponctuation. - Guide
- Roulement en 12h qui fonctionne bien - Forum Bureautique
- 72 mbits s c'est bien ✓ - Forum WiFi
- Confirmez qu'il s'agit bien de vous - Forum Gmail
- Vérifier que le serveur freebox est bien connecté à internet - Forum Freebox
15 réponses
Hello,
Non c'est pas "bien nettoyé", il a encore des traces de l'infection bagle..
@joeledemago, fais ceci :
▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀
Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P.
◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.
/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\
◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
Non c'est pas "bien nettoyé", il a encore des traces de l'infection bagle..
@joeledemago, fais ceci :
▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀
Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P.
◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.
/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\
◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
Ok c'est clean, on supprime les outils de désinfection utilisés et ensuite je te laisse partir ;-)
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
Merci Gabriel de t'interesser à ma question.
Voici le rapport demandé:
https://www.cjoint.com/?0cmuRy8HK48
Voici le rapport demandé:
https://www.cjoint.com/?0cmuRy8HK48
Bonjour,
Me revoici avec les éléments demandés.
En premier je souhaiterais te soumettre la copie d'écran des programmes de démarrage car il y a deux entrées que je ne m'explique pas, peux tu m'en dire plus ?
Voici la copie d'écran: http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Ensuite, voici le rapport ad-remover:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijE13LgoP.txt
Et le rapport list&Kill:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijl9RXHSr.txt
Merci d'avance, et bon dimanche.
Me revoici avec les éléments demandés.
En premier je souhaiterais te soumettre la copie d'écran des programmes de démarrage car il y a deux entrées que je ne m'explique pas, peux tu m'en dire plus ?
Voici la copie d'écran: http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Ensuite, voici le rapport ad-remover:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijE13LgoP.txt
Et le rapport list&Kill:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijl9RXHSr.txt
Merci d'avance, et bon dimanche.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila le rapport FindyKill:
(merci beaucoup à la communauté pour votre assistance)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:08:58 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
C:\WINDOWS\ban_list.txt
C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
C:\WINDOWS\system32\ban_list.txt
C:\Documents and Settings\Administrateur\Application Data\drivers
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS33]
[HKCU\Software\WS35]
[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]
[HKCU\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
(merci beaucoup à la communauté pour votre assistance)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:08:58 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
C:\WINDOWS\ban_list.txt
C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
C:\WINDOWS\system32\ban_list.txt
C:\Documents and Settings\Administrateur\Application Data\drivers
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS33]
[HKCU\Software\WS35]
[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]
[HKCU\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
Pas de problèmes. On va maintenant passer à la suppression des éléments infectieux :
▶▷▶▷▶▷▶▷▶▷ Findykill - Suppression ◁◀◁◀◁◀◁◀◁◀
◈ Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).
◈ Le PC va redémarrer et findykill se lancera au démarrage.
◈ Patiente pendant le scan jusqu'à l'ouverture d'un rapport.
◈ Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
▶▷▶▷▶▷▶▷▶▷ Findykill - Suppression ◁◀◁◀◁◀◁◀◁◀
◈ Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).
◈ Le PC va redémarrer et findykill se lancera au démarrage.
◈ Patiente pendant le scan jusqu'à l'ouverture d'un rapport.
◈ Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
Est il possible également de me dire à quoi peuvent correspondre ces entrées et si elles sont valides ?
http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Sinon voilà le rapport FindyKill après nettoyage :
(encore merci)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:26:15 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
Supprimé ! C:\WINDOWS\ban_list.txt
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers
################## | CRC32 ... |
################## | Registre |
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\WS33]
Supprimé ! [HKCU\Software\WS35]
Supprimé ! [HKCU\Software\Classes\ed2k]
Supprimé ! [HKCR\ed2k]
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Supprimé ! [HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Mode sans echec : OK
http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Sinon voilà le rapport FindyKill après nettoyage :
(encore merci)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:26:15 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
Supprimé ! C:\WINDOWS\ban_list.txt
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers
################## | CRC32 ... |
################## | Registre |
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\WS33]
Supprimé ! [HKCU\Software\WS35]
Supprimé ! [HKCU\Software\Classes\ed2k]
Supprimé ! [HKCR\ed2k]
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Supprimé ! [HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Mode sans echec : OK
Ok pour Findykill. Aucune idée pour les entrées msconfig, j'ai rien vu dans le dernier rapport ZHPDiag.
D'ailleurs, peux-tu m'en refaire un maintenant ?
D'ailleurs, peux-tu m'en refaire un maintenant ?
OK, voici le dernier ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201102/cijXytoJH1.txt
J'avais désactivé les points de restauration, puis-je les réactiver à ton avis ?
Merci encore.
J'avais désactivé les points de restauration, puis-je les réactiver à ton avis ?
Merci encore.
Ok il y a encore quelques éléments à supprimer, une fois ceci fais tu pourras réactiver la restauration système.
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O44 - LFC:[MD5.095BB1C8ABA0D2867E720D6F229BB6DD] - 13/02/2011 - 10:37:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [4157]
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.)
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 12/02/2011 - 11:42:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002935_.tmp [19569] =>
[HKCU\Software\WS22]
[HKCU\Software\WS4971]
[HKCU\Software\WS]
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O44 - LFC:[MD5.095BB1C8ABA0D2867E720D6F229BB6DD] - 13/02/2011 - 10:37:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [4157]
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.)
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 12/02/2011 - 11:42:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002935_.tmp [19569] =>
[HKCU\Software\WS22]
[HKCU\Software\WS4971]
[HKCU\Software\WS]
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
Voici le rapport ZHPFix:
Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Run by Administrateur at 13/02/2011 15:19:26
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH => Clé supprimée avec succès
HKCU\Software\WS22 => Clé supprimée avec succès
HKCU\Software\WS4971 => Clé supprimée avec succès
HKCU\Software\WS => Clé supprimée avec succès
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline => Valeur absente
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Valeur absente
========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\windows\002935_.tmp => Supprimé et mis en quarantaine
========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Run by Administrateur at 13/02/2011 15:19:26
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH => Clé supprimée avec succès
HKCU\Software\WS22 => Clé supprimée avec succès
HKCU\Software\WS4971 => Clé supprimée avec succès
HKCU\Software\WS => Clé supprimée avec succès
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline => Valeur absente
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Valeur absente
========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\windows\002935_.tmp => Supprimé et mis en quarantaine
========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Fichier(s)
End of the scan
Super, merci beaucoup pour ton support et ta disponibilité.
Bonne fin de WE,
Julien
Rapport DelFix:
# DelFix v7.4 - Rapport créé le 13/02/2011 à 15:47
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - PCPOWER20 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\FyK
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\List'em.txt
Supprimé : C:\FyK.txt
Supprimé : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPFixReport.txt
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [1589 octets] ##########
Bonne fin de WE,
Julien
Rapport DelFix:
# DelFix v7.4 - Rapport créé le 13/02/2011 à 15:47
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - PCPOWER20 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\FyK
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\List'em.txt
Supprimé : C:\FyK.txt
Supprimé : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPFixReport.txt
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [1589 octets] ##########
Bonsoir,
Ça a l'air pas mal, mais fait ceci :
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC ( https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac )./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
? Télécharge zhpdiag ( https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ) (de Nicolas Coolman)
? Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
? Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
? attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
? Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
? Héberge le rapport ZHPDiag.txt sur cjoint ( https://www.cjoint.com/ ), puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Voilà.
Merci,
Gabriel.
Ça a l'air pas mal, mais fait ceci :
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC ( https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac )./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
? Télécharge zhpdiag ( https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ) (de Nicolas Coolman)
? Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
? Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
? attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
? Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
? Héberge le rapport ZHPDiag.txt sur cjoint ( https://www.cjoint.com/ ), puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Voilà.
Merci,
Gabriel.
Ce rapport est ok, maintenant, fait ceci :
1) passes ad-remover mode NETTOYER
Déactives ton anti-virus et anti-spyware le temps du scan
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/
/!\ Ferme toutes tes applications ouvertes. /!\
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
2) postes un list&kill"em
passes lis&kill"em option Search
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge List_Kill'em ( http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe ) et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer"
lance-le via le raccourci apparu sur ton bureau comme précité au debut
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier C:\List'em.txt
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
Gabriel.
1) passes ad-remover mode NETTOYER
Déactives ton anti-virus et anti-spyware le temps du scan
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/
/!\ Ferme toutes tes applications ouvertes. /!\
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
2) postes un list&kill"em
passes lis&kill"em option Search
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge List_Kill'em ( http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe ) et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer"
lance-le via le raccourci apparu sur ton bureau comme précité au debut
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier C:\List'em.txt
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
Gabriel.