FPAV logger, méchant virus ?

Falk_Oomikami Messages postés 10 Statut Membre -  
 gen-hackman -
Bonjour,

Il semblerait que j'ai un méchant virus.
Je ne faisais rien de spécial, je n'ai rien installé ni downloadé de spécial, juste réouverts de vieux fichiers pdf (mon CV) quand mon firewall m'a demandé d'autoriser ou non l'accès au net à une application nommée "FPAV logger", voyant le nom à rallonge plein de chiffres de l'exe, je sentais les problèmes et disait non.

Le HDD s'est alors mis à labourer. Oh-oooh.
Avira n'a rien calculé.
Je lance alors le gestionnaire des tâches, mais un message m'informe qu'il a été "désactivé par l'administrateur" (alors que c'est moi l'admin').

Je clique sur "démarrer", et vois alors que la liste des programmes a raccourci de 2 tiers. OH-OOOH, problème !

Je l'éteins violemment, et quand je tente de redémarrer en mode sans échec, IMPOSSIBLE de sélectionner l'option démarrage en mode sans échec, les 30 secondes s'écoulent, il démarre en normal, et dès que ma session est ouverte, il reprend sa sombre besogne.

Bref, j'ai déjà eu affaire à quelques virus, y compris le genre de bestiole à virer avec un patch sur disquette en mode 16 bit, et chaque fois je m'en sortais, mais là c'était violent, je n'ai rien vu venir, et à part acheter un autre dur pour soigner le 1er, ou du moins tenter de copier les données que je n'aurais pas sauvées (ou trouver un anti-virus à booter sur CD en 16bit ?), je ne vois pas, une idée ?

Edit : Ah oui aussi, en cherchant "fpav logger" sur le net, il n'y a quasiment aucun résultat, c'est un nouveau virus ? une variante ?

19 réponses

  1. M@thew
     
    Bonjour ordigami, une restauration système n'a
    jamais réglé un problème d'infection...

    1
  2. gen-hackman
     
    ne t'inquiete pas et fais roguekiller
    1
  3. ordigami Messages postés 346 Statut Membre 46
     
    A tu essayé de faire une restauration du system?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Falk_Oomikami Messages postés 10 Statut Membre
     
    Merci pour les réponses, mais je ne crois pas avoir activé la restauration système... *^_^*

    Bon, j'essaierai le roguekiller mais il faut arriver dans windows apparemment pour l'exécuter, ce qui est pour l'instant problématique si je ne veux pas qu'il cause encore plus de dégâts (à moins de le brancher en esclave sur un autre système qui ne craint rien).

    Je suis preneur s'il existe une solution avec un anti-virus bootable sur CD par exemple, un truc bien basique en ligne de commande, car là je ne peux même pas choisir le mode sans échec au démarrage.
    0
  6. Falk_Oomikami Messages postés 10 Statut Membre
     
    Bien joué Gen-Hackman, ça n'était qu'un rogue et roguekiller a bien fait le boulot. J'en serais presque déçu :p

    Par ailleurs il a accepté de démarrer en mode sans échec, alors que précédemment il ne voulait pas, allez comprendre...

    En tous cas, merci !
    0
  7. gen-hackman
     
    c'est pas fini poste le rapport de roguekiller
    0
  8. Falk_Oomikami Messages postés 10 Statut Membre
     
    Ah ? Lol, bon ok (ah oui tiens, en suivant le chemin que donne roguekiller, antivir a trouvé 2 trojans)

    J'ai d'abord fait le mode 1 :

    /////////////////////////////////////////////////////////////////////////////////////////

    RogueKiller V4.3.4 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Started in : Safe mode
    User: Falk [Admin rights]
    Mode: Scan -- Date : 03/27/2011 16:42:10

    Bad processes: 0

    Registry Entries: 4
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : FNeRIUUxaGgdGC (C:\Documents and Settings\All Users\Application Data\FNeRIUUxaGgdGC.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1409082233-790525478-725345543-1003[...]\Run : FNeRIUUxaGgdGC (C:\Documents and Settings\All Users\Application Data\FNeRIUUxaGgdGC.exe) -> FOUND
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND

    HOSTS File:
    127.0.0.1 localhost

    Finished : << RKreport[1].txt >>
    RKreport[1].txt

    /////////////////////////////////////////////////////////////////////////////////////////

    Puis le 2 :

    /////////////////////////////////////////////////////////////////////////////////////////

    RogueKiller V4.3.4 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Started in : Safe mode
    User: Falk [Admin rights]
    Mode: Remove -- Date : 03/27/2011 16:43:18

    Bad processes: 0

    Registry Entries: 3
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : FNeRIUUxaGgdGC (C:\Documents and Settings\All Users\Application Data\FNeRIUUxaGgdGC.exe) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED

    HOSTS File:
    127.0.0.1 localhost

    Finished : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    /////////////////////////////////////////////////////////////////////////////////////////

    Puis le 6 :

    /////////////////////////////////////////////////////////////////////////////////////////

    RogueKiller V4.3.4 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Started in : Safe mode
    User: Falk [Admin rights]
    Mode: Shortcuts HJfix -- Date : 03/27/2011 16:51:02

    Bad processes: 0

    File attributes restored:
    Desktop: Success 6016 / Fail 0
    Quick launch: Success 13 / Fail 0
    Programs: Success 381 / Fail 0
    Start menu: Success 0 / Fail 0
    : Success 179 / Fail 1
    My documents: Success 0 / Fail 1
    My favorites: Success 8 / Fail 0
    : Success 0 / Fail 0
    : Success 0 / Fail 0
    : Success 0 / Fail 0
    Local drives: Success 3 / Fail 0

    Finished : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    /////////////////////////////////////////////////////////////////////////////////////////
    0
  9. gen-hackman
     
    rapport.txt apparaitra sur ton bureau a la finb de ce scan , poste-le puis supprime le txt

    http://dl.dropbox.com/u/21363431/Pre_Scan.exe
    0
  10. Falk_Oomikami Messages postés 10 Statut Membre
     
    Voila m'sieur (par contre je ne l'ai pas fait en sans échec, fallait ? et antivir gueulait quand je lançais ton prog', alors je l'ai désactivé le temps du scan) :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
    Utilisateur : Falk (Administrateurs)
    Ordinateur : DEEPSTRIKER

    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 6.0.2900.2180
    Mozilla Firefox : 4.0 (fr)

    Scan : 23:54:19 | 28/03/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCR\exefile\..\..\command] : "%1" %*
    [HKCR\comfile\..\..\command] : "%1" %*
    [HKCR\scrfile\..\..\command] : "%1" /S
    [HKCR\batfile\..\..\command] : "%1" %*
    [HKCR\piffile\..\..\command] : "%1" %*

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    explorer.exe -> Processus stoppé
    RTHDCPL.exe -> Processus stoppé
    SoundMan.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Modification apportée : -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Modification apportée : -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Modification apportée : -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    scanning jobs ...

    scanning processes ...

    scanning threads ...

    scanning modules in svchost.exe...
    scanning modules in services.exe...
    scanning modules in explorer.exe...

    restoring services BITS, wuauserv, ERSvc, WerSvc
    Service BITS autorun restored
    Service wuauserv autorun restored
    Service ERSvc autorun restored

    restoring show hidden and system files

    restoring SafeBoot registry node
    Restoring safe/network boot registry branches for windows XP

    scanning C:\WINDOWS\system32 ...
    scanning C:\Program Files\Internet Explorer\ ...
    scanning C:\Program Files\Movie Maker\ ...
    scanning C:\Program Files\Windows Media Player\ ...
    scanning C:\Program Files\Windows NT\ ...
    scanning C:\Documents and Settings\Falk\Application Data ...
    scanning C:\DOCUME~1\Falk\LOCALS~1\Temp\ ...
    scanning C:\ ...
    scanning D:\ ...
    scanning E:\ ...

    completed
    Infected jobs: 0
    Infected files: 0
    Infected threads: 0
    Splices functions: 0
    Cured files: 0
    Fixed registry keys: 0

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  11. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em

    enregistre le sur ton bureau et lance l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Recherche

    ▶ laisse travailler l'outil

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    ▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

    ▶▶▶ NE LES POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ces liens dans ta réponse.
    G3?-?@¢??@?......Concepteur de List_Kill'em...
    0
  12. Falk_Oomikami Messages postés 10 Statut Membre
     
    Il a en effet bloqué, mais je ne saurais pas dire si c'était à 95%

    Voila les logs :

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijDNViK0r.txt

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijfvU5Pxd.txt
    0
  13. gen-hackman
     
    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ? Lance le

    Une fenêtre apparait : clique sur "Disable"

    ? Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ==============================

    ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

    ? Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ? choisis l'option Tools puis Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :

    REM:"HKLM\Software\Trymedia Systems"
    KLOOK:HKCU\Software\Alerts
    KLOOK:HKCU\Software\Eberhard Werle
    KLOOK:HKCU\Software\med_scangnrlst
    KLOOK:HKCU\Software\Monacosys

    ? enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    laisse travailler l'outil

    ? poste le resultat

    ? Ferme List_Kill'em

    Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

    =========================================

    ? Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ? choisis l'Option Suppression

    ??? Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ? colle le contenu dans ta reponse

    ? envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
    G3?-?@¢??@?......Concepteur de List_Kill'em...
    0
  14. Falk_Oomikami Messages postés 10 Statut Membre
     
    +++Résultat du script+++

    ¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

    Running Process Killed : PID 2068 'Firefox.exe'
    Running Process Killed : PID 2068 'Firefox.exe'
    Running Process Killed : PID 2668 'explorer.exe'
    Running Process Killed : PID 2668 'explorer.exe'

    ¤¤¤¤¤¤¤¤¤¤ Processus :

    ¤¤¤¤¤¤¤¤¤¤ Added Keys :

    ¤¤¤¤¤¤¤¤¤¤ Removed Keys :

    Suppression : HKLM\Software\Trymedia Systems

    ¤¤¤¤¤¤¤¤¤¤ Ports closed :

    ¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :

    ¤¤¤¤¤¤¤¤¤¤ Drivers deleted :

    ¤¤¤¤¤¤¤¤¤¤ Object Restored :

    ¤¤¤¤¤¤¤¤¤¤ Folder List :

    ¤¤¤¤¤¤¤¤¤¤ Read File :

    ¤¤¤¤¤¤¤¤¤¤ Signature :

    ¤¤¤¤¤¤¤¤¤¤ Key Look :

    HKEY_CURRENT_USER\software\alerts
    13 REG_BINARY 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

    HKEY_CURRENT_USER\software\eberhard werle
    HKEY_CURRENT_USER\software\eberhard werle\QuickGamma

    HKEY_CURRENT_USER\software\med_scangnrlst
    serieunique REG_SZ true
    path_img REG_SZ R:\images_toshiba\
    path_img_pf REG_SZ R:\images_philips\281102\
    path_img_demo REG_SZ R:\images_demo\
    path_sortie REG_SZ R:\med_scan\
    path_sortie_n_compres REG_SZ
    path_sortie_protege REG_SZ R:\med_prtg\
    bdemo4_caption REG_SZ AZERNEL
    image_test REG_SZ true
    modif_couleurs REG_SZ true
    couleur_fond REG_SZ 30
    couleur_fonte REG_SZ 200
    comment_ds_serie REG_SZ true
    image_type_ds_serie REG_SZ true
    mode_SCP REG_SZ true
    DelaiChrgmtCDR REG_SZ 10
    CloseDisc REG_SZ true
    CacheSize REG_SZ 67108864
    VolumeLabel REG_SZ SCANPLUS
    vitessemax REG_SZ 8
    suppr_fic_graves REG_SZ true
    repert_defaut REG_SZ
    repert_dicom_defaut REG_SZ
    repgeneraliste REG_SZ R:\medical\
    nbseries REG_SZ 6
    repertoire_temporaire REG_SZ R:\Documents and Settings\All Users\Documents\temp\
    max_gravés REG_SZ 100
    dll_conv REG_SZ C:\Program Files\Fichiers communs\Microsoft Shared\TextConv\mswrd832.cnv
    dll_conv_alt REG_SZ
    repertoire_cr REG_SZ \Serveur\R5\Cr\
    examen_instance_unique REG_SZ true
    repert_dernier_jour REG_SZ
    diadepart REG_SZ 20
    minimun_disque_dur REG_SZ 5000
    lbarchive_niveau REG_SZ 0
    secrt_pat_autre_jour REG_SZ false
    images_cachees_agrandies REG_SZ true
    informations_sur_image REG_SZ true
    inf_sur_image_actuel REG_SZ true
    mesures_oreille_enfoncee REG_SZ true
    suppr_fic_rtf REG_SZ true
    sur_deux_jours REG_SZ false
    lettres_disques REG_SZ
    etablissement REG_SZ
    imgx2dimx2 REG_SZ true
    resume_aff_serie_description REG_SZ true
    resume_impr_mesures REG_SZ true
    nb_jours_arriere REG_SZ 0
    nb_jours_corr_noms REG_SZ 0
    nb_jours_rappel_dne REG_SZ 0
    rappel_dne_week_end REG_SZ false
    repertoire_mac REG_SZ true
    jpeg_quality REG_SZ 50
    vriconedata REG_SZ OB
    ficindexmac REG_SZ VOIR_MAC.HTM
    pos_popup_vert REG_SZ -25
    F1img_borderwidth REG_SZ 0
    html_local REG_SZ false
    derniere_erreur REG_SZ
    prem_erreur REG_SZ
    robot_nom REG_SZ _amigo2
    robot_rep_image_iso REG_SZ
    robot_rep_pof REG_SZ
    robot_rep_label REG_SZ
    robot_capacite_cdr REG_SZ 700
    robot_capacite_dvd REG_SZ 4482
    robot_media_type REG_SZ CD
    robot_alerte_ruban REG_SZ 0
    duree_maintien_min REG_SZ 0
    robot_lancement REG_SZ validation
    robot_champ_dateexam REG_SZ Examen du
    robot_champ_radiologue REG_SZ false
    robot_champ_modalite REG_SZ false
    robot_champ_categorie REG_SZ
    robot_dvd_oui_non_manuel REG_SZ non
    robot_btw_index REG_SZ 0
    duree_validation REG_SZ 0
    graveur_selectionne REG_SZ
    compare_dates REG_SZ false
    viewing_miniimg_survol REG_SZ true
    imprimante REG_SZ
    coord_e-media REG_SZ E-Media tel 06 73 34 31 79
    screen_pixelsperinch REG_SZ
    repertoire_selection REG_SZ c:\med_bookmak\
    module_recherche REG_SZ
    lettre_cd_examen REG_SZ d
    bookmark REG_SZ c:\med_bookmak\bookmark.exe
    cr_fenetre_dicom REG_SZ false
    categorie_att REG_SZ sbpi
    grv_suppression_cr_visible REG_SZ false
    langue REG_SZ
    compar_orientation REG_SZ true
    repere_date_cr REG_SZ
    meme_uid_meme_serie REG_SZ true
    reboot_time REG_SZ
    reboot_command REG_SZ c:\med_prg\Shutdown.exe -r -n -t90
    reboot_delay REG_SZ 600
    console_modality_ot_en_ct_mr REG_SZ
    comparaison_dim2x_zoom2x REG_SZ true
    key_images_name REG_SZ KEY_IMAGES
    form2appprocesmsg REG_SZ false
    radiologue_GE REG_SZ
    radiologue_PH REG_SZ
    radiologue_TO REG_SZ
    radiologue_SI REG_SZ
    affiche_position_coupe REG_SZ true
    filtre_recencement_cr REG_SZ
    aet_archive_long_terme REG_SZ
    nb_mois_archive_long_terme REG_SZ 6
    aet_selection_images REG_SZ
    nb_heures_fermeture_auto REG_SZ
    thrd_jpeg_priority_norm_lwr_lwst_idle REG_SZ lwr
    thrdj_pas_file_attente REG_SZ 50
    typecomment_comment_stddesc REG_SZ comment
    web_acces REG_SZ
    web_root_dir REG_SZ
    web_SMS_acces REG_SZ
    web_max_select REG_SZ 5
    web_local_smtp REG_SZ
    web_mail_client REG_SZ c:\med_prg\mailclient\blat.exe
    web_mail_sender REG_SZ
    web_mail_replyto REG_SZ
    web_mail_server REG_SZ
    web_mail_username REG_SZ
    web_mail_password REG_SZ
    achivage_jll REG_SZ false
    dll_jpeg_avert_indisp REG_SZ
    rep_arch_dne REG_SZ c:\med_arch_dne\
    reserve_archive_prin REG_SZ
    reserve_archive_ncompress REG_SZ
    tri_selection_image REG_SZ true
    cd_multi_examens REG_SZ false
    cd_mult_pat_id_nom REG_SZ false
    key_images_champ REG_SZ
    force_ihe_pdi REG_SZ false
    mdbalim_chemin_ce_pc REG_SZ
    mdbalim_nb_jours_maj REG_SZ 7
    repert_import_dicom REG_SZ F:\med_sortie\
    repert_charge_exam REG_SZ F:\med_sortie\
    impression_automatique REG_SZ false
    hauteur_titre_fixe REG_SZ 0
    hauteur_titre_div REG_SZ 80
    marge_h_div REG_SZ 500
    marge_h_fixe REG_SZ 0
    marge_v_div REG_SZ 0
    marge_v_fixe REG_SZ 0
    marge_v_ext_div REG_SZ 0
    marge_v_ext_fixe REG_SZ 0
    marge_h_ext_div REG_SZ 0
    marge_h_ext_fixe REG_SZ 0
    haut_haut_page_div REG_SZ 80
    haut_haut_page_fixe REG_SZ 0
    haut_bas_page_div REG_SZ 80
    haut_bas_page_fixe REG_SZ 0
    resume_max_img REG_SZ 100
    resume_max_pages REG_SZ 4
    resume_img_page REG_SZ 24
    HKEY_CURRENT_USER\software\med_scangnrlst\fenetres
    1_nom REG_SZ Poumons
    1_centre REG_SZ -600
    1_largeur REG_SZ 1600
    2_nom REG_SZ Abdomen
    2_centre REG_SZ 30
    2_largeur REG_SZ 300
    3_nom REG_SZ Mediastin
    3_centre REG_SZ 50
    3_largeur REG_SZ 350
    4_nom REG_SZ Cerveau
    4_centre REG_SZ 40
    4_largeur REG_SZ 80
    5_nom REG_SZ Fosse Postérieure
    5_centre REG_SZ 50
    5_largeur REG_SZ 150
    6_nom REG_SZ Os
    6_centre REG_SZ 400
    6_largeur REG_SZ 2000
    7_nom REG_SZ Rocher
    7_centre REG_SZ 500
    7_largeur REG_SZ 4000
    8_nom REG_SZ
    8_centre REG_SZ
    8_largeur REG_SZ
    HKEY_CURRENT_USER\software\med_scangnrlst\multiprin
    serveur REG_SZ true
    client_num REG_SZ 0
    adr_ip_serv REG_SZ scanplus_p1
    port_serv REG_SZ 44440
    time_out_tcpip REG_SZ 60
    time_out_reponse REG_SZ 1000
    reconnect_delay REG_SZ 3120
    adr_locale REG_SZ 192.168.0.0

    Error: Key: software\monacosys does not exist!

    End at 21:37:47

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    ***********************************************************

    +++Et le rapport kill'em+++

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 28/02/2011 | 06.00 par g3n-h@ckm@n
    Utilisateur : Falk (Administrateurs)
    Ordinateur : DEEPSTRIKER

    Système d'exploitation : Microsoft Windows XP (32 bits)

    a:\ -> [Removable] | [] | Total : 0 Mo | Free : 0 Mo ->
    c:\ -> [Fixed] | [] | Total : 70900 Mo | Free : 14380 Mo -> NTFS
    d:\ -> [Fixed] | [New Volume] | Total : 190780 Mo | Free : 136600 Mo -> NTFS
    e:\ -> [Fixed] | [New Volume] | Total : 190770 Mo | Free : 64690 Mo -> NTFS
    f:\ -> [CDROM] | [] | Total : 0 Mo | Free : 0 Mo ->

    Scan : 21:41:33 | 30/03/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Winlogon ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | AutoRestartShell = 1
    [HKLM\..\..\Winlogon] | Shell = Explorer.exe
    [HKLM\..\..\Winlogon] | Userinit = C:\WINDOWS\system32\Userinit.exe,
    [HKLM\..\..\Winlogon] | System =
    [HKLM\..\..\Winlogon] | PowerdownAfterShutdown = 1

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKCU\..\..\Internet Explorer\Main] | Start Page=https://www.google.com/?gws_rd=ssl
    [HKCU\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
    [HKCU\..\..\Internet Explorer\Main] | Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM\..\..\Internet Explorer\Main] | Start Page=https://www.msn.com/fr-fr/?ocid=iehp
    [HKLM\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
    [HKLM\..\..\Internet Explorer\Main] | Default_Search_URL=https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    [HKLM\..\..\Internet Explorer\Main] | Default_Page_URL=https://www.msn.com/fr-fr/?ocid=iehp
    [HKLM\..\..\Internet Explorer\Main] | Search Page=https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    Supprimé : [Your Image File Name Here without a path] -> ntsd -d

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

    Supprimé : [HKCU\..\..\Mountpoints2\{14597bef-8fdc-11dd-b7df-000000000000}] -> command : C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cretae.dll.vbs

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤

    Valeur Supprimée : [HKCU\..\..\Policies\System] | DisableRegistryTools

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Security Center] | FirstRunDisabled = 1
    [HKLM\..\..\Security Center] | AntiVirusOverride = 0
    [HKLM\..\..\Security Center] | FirewallOverride = 0
    [HKLM\..\..\Security Center] | AntiVirusDisableNotify = 0
    [HKLM\..\..\Security Center] | FirewallDisableNotify = 0
    [HKLM\..\..\Security Center] | UpdatesDisableNotify = 0

    Fin : 21:44:20

    ¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤

    +++L'upload+++

    http://www.cijoint.fr/cj201103/cijqdmgCST.zip

    Je suis curieux ^_^, solutionner les problèmes de sécurité info, c'est un hobby ? Un travail ? Un challenge ? Un sacerdoce ? :)
    60000 messages, ça poutre
    0
  15. gen-hackman
     
    tu avais bien desactivé tes protections pour les manips hein ?
    0
  16. Falk_Oomikami Messages postés 10 Statut Membre
     
    Euh... je ne crois pas :D

    Je recommence sans ? Ou du coup certaines étapes sont à modifier ? (genre le script)
    0
  17. gen-hackman
     
    pour repondre à ta question c'est une passion les virus informaatiques :)

    ===============

    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  18. Falk_Oomikami Messages postés 10 Statut Membre
     
    Voila le rapport, par contre j'ai viré des trucs dans "listings", j'ai pas envie que tout le monde sache ce qu'il y a sur mon bureau (et y'a du bordel :p) :

    ############################## | UsbFix 7.043 | [Deletion]

    User: Falk (Administrator) # DEEPSTRIKER [ ]
    Updated 02/04/2011 by TeamXscript
    Started at 13:53:24 | 03/04/2011
    Website: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
    Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Windows Firewall: Disabled /!\
    Antivirus: Avira AntiVir PersonalEdition 8.0.1.30 [(!) Disabled | Updated]
    RAM -> 2046 Mb
    C:\ (%systemdrive%) -> Fixed drive # 69 Gb (14 Mb free - 20%) [] # NTFS
    D:\ -> Fixed drive # 186 Gb (133 Mb free - 72%) [New Volume] # NTFS
    E:\ -> Fixed drive # 186 Gb (63 Mb free - 34%) [New Volume] # NTFS
    F:\ -> CD-ROM
    G:\ -> Removable drive # 4 Gb (3 Mb free - 83%) [NIKON D90] # FAT32
    K:\ -> Removable drive # 63 Mb (33 Mb free - 53%) [] # FAT

    ################## | Files # Infected Folders |

    Deleted ! C:\Recycler\S-1-5-21-1409082233-790525478-725345543-1003
    Deleted ! D:\Recycler\S-1-5-21-1409082233-790525478-725345543-1003
    Deleted ! D:\Recycler\S-1-5-21-1645522239-1085031214-725345543-1003
    Deleted ! E:\Recycler\S-1-5-21-1409082233-790525478-725345543-1003
    Deleted ! E:\Recycler\S-1-5-21-1645522239-1085031214-725345543-1003
    Deleted ! C:\system32

    ################## | Registry |

    Deleted ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    ################## | Listing |

    [30/08/2007 - 16:15:42 | N | 0] C:\AUTOEXEC.BAT
    [03/10/2010 - 01:47:26 | N | 211] C:\boot.ini
    [31/01/2011 - 20:43:25 | D ] C:\Config.Msi
    [30/08/2007 - 16:15:42 | N | 0] C:\CONFIG.SYS
    [28/03/2011 - 23:57:08 | D ] C:\Conversion
    [30/08/2007 - 16:37:03 | N | 197] C:\csb.log
    [04/01/2009 - 18:15:24 | D ] C:\Dell
    [30/08/2007 - 16:18:45 | D ] C:\Documents and Settings
    [16/12/2008 - 23:34:12 | D ] C:\Games
    [30/08/2007 - 16:33:31 | D ] C:\Intel
    [30/08/2007 - 16:15:42 | N | 0] C:\IO.SYS
    [07/12/2009 - 23:08:45 | D ] C:\Jersey
    [30/08/2007 - 16:36:59 | D ] C:\JM
    [29/03/2011 - 19:37:29 | D ] C:\Kill'em
    [30/08/2007 - 16:15:42 | N | 0] C:\MSDOS.SYS
    [29/03/2011 - 00:02:59 | D ] C:\NovaGaming
    [04/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
    [04/08/2004 - 14:00:00 | N | 250032] C:\ntldr
    [03/04/2011 - 10:25:47 | ASH | 2145386496] C:\pagefile.sys
    [29/03/2011 - 19:37:23 | D ] C:\Program Files
    [03/04/2011 - 13:58:04 | SHD ] C:\RECYCLER
    [30/08/2007 - 16:36:55 | N | 423] C:\RHDSetup.log
    [30/08/2007 - 16:18:09 | SHD ] C:\System Volume Information
    [29/03/2011 - 00:32:36 | D ] C:\Temp
    [03/04/2011 - 13:58:04 | D ] C:\UsbFix
    [03/04/2011 - 13:58:04 | A | 1463] C:\UsbFix.txt
    [21/03/2011 - 01:05:13 | N | 19455367] C:\vraylog.txt
    [01/05/2009 - 14:15:37 | N | 791077] C:\Wallpaper.jpg
    [29/03/2011 - 19:19:38 | D ] C:\WINDOWS
    [01/09/2007 - 22:18:12 | N | 146] C:\YServer.txt
    [27/01/2010 - 22:02:20 | D ] D:\e30e0fedff994198f1c706c8
    [12/02/2009 - 02:55:59 | N | 4542] D:\os000001.pl.htm
    [12/02/2009 - 02:55:58 | D ] D:\os000001.pl_fichiers
    [03/04/2011 - 13:58:04 | SHD ] D:\RECYCLER
    [11/08/2007 - 15:15:13 | SHD ] D:\System Volume Information
    [15/12/1999 - 00:56:56 | N | 216096] E:\ntldr
    [03/04/2011 - 13:58:04 | SHD ] E:\RECYCLER
    [11/08/2007 - 17:49:05 | D ] E:\Sysreset
    [11/08/2007 - 14:53:39 | SHD ] E:\System Volume Information

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
    E:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
    G:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)

    ################## | Upload |

    Please send the file: C:\UsbFix_Upload_Me_DEEPSTRIKER.zip
    http://www.teamxscript.org/Upload.php
    Thank you for your contribution.

    ################## | E.O.F |
    0
  19. gen-hackman
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0