FPAV logger, méchant virus ?

Fermé
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011 - Modifié par Falk_Oomikami le 25/03/2011 à 10:10
 Utilisateur anonyme - 3 avril 2011 à 19:04
Bonjour,

Il semblerait que j'ai un méchant virus.
Je ne faisais rien de spécial, je n'ai rien installé ni downloadé de spécial, juste réouverts de vieux fichiers pdf (mon CV) quand mon firewall m'a demandé d'autoriser ou non l'accès au net à une application nommée "FPAV logger", voyant le nom à rallonge plein de chiffres de l'exe, je sentais les problèmes et disait non.

Le HDD s'est alors mis à labourer. Oh-oooh.
Avira n'a rien calculé.
Je lance alors le gestionnaire des tâches, mais un message m'informe qu'il a été "désactivé par l'administrateur" (alors que c'est moi l'admin').

Je clique sur "démarrer", et vois alors que la liste des programmes a raccourci de 2 tiers. OH-OOOH, problème !

Je l'éteins violemment, et quand je tente de redémarrer en mode sans échec, IMPOSSIBLE de sélectionner l'option démarrage en mode sans échec, les 30 secondes s'écoulent, il démarre en normal, et dès que ma session est ouverte, il reprend sa sombre besogne.

Bref, j'ai déjà eu affaire à quelques virus, y compris le genre de bestiole à virer avec un patch sur disquette en mode 16 bit, et chaque fois je m'en sortais, mais là c'était violent, je n'ai rien vu venir, et à part acheter un autre dur pour soigner le 1er, ou du moins tenter de copier les données que je n'aurais pas sauvées (ou trouver un anti-virus à booter sur CD en 16bit ?), je ne vois pas, une idée ?

Edit : Ah oui aussi, en cherchant "fpav logger" sur le net, il n'y a quasiment aucun résultat, c'est un nouveau virus ? une variante ?

A voir également:

19 réponses

Utilisateur anonyme
25 mars 2011 à 10:14
salut

essaie l option 2 , puis 6 de cet outil

https://www.luanagames.com/index.fr.html
2
Utilisateur anonyme
25 mars 2011 à 10:11
Bonjour ordigami, une restauration système n'a
jamais réglé un problème d'infection...

1
Utilisateur anonyme
25 mars 2011 à 13:00
ne t'inquiete pas et fais roguekiller
1
ordigami Messages postés 289 Date d'inscription jeudi 24 mars 2011 Statut Membre Dernière intervention 4 avril 2013 46
25 mars 2011 à 10:09
A tu essayé de faire une restauration du system?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
25 mars 2011 à 12:51
Merci pour les réponses, mais je ne crois pas avoir activé la restauration système... *^_^*

Bon, j'essaierai le roguekiller mais il faut arriver dans windows apparemment pour l'exécuter, ce qui est pour l'instant problématique si je ne veux pas qu'il cause encore plus de dégâts (à moins de le brancher en esclave sur un autre système qui ne craint rien).

Je suis preneur s'il existe une solution avec un anti-virus bootable sur CD par exemple, un truc bien basique en ligne de commande, car là je ne peux même pas choisir le mode sans échec au démarrage.
0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
27 mars 2011 à 18:55
Bien joué Gen-Hackman, ça n'était qu'un rogue et roguekiller a bien fait le boulot. J'en serais presque déçu :p

Par ailleurs il a accepté de démarrer en mode sans échec, alors que précédemment il ne voulait pas, allez comprendre...

En tous cas, merci !
0
Utilisateur anonyme
27 mars 2011 à 19:00
c'est pas fini poste le rapport de roguekiller
0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
28 mars 2011 à 21:59
Ah ? Lol, bon ok (ah oui tiens, en suivant le chemin que donne roguekiller, antivir a trouvé 2 trojans)

J'ai d'abord fait le mode 1 :

/////////////////////////////////////////////////////////////////////////////////////////

RogueKiller V4.3.4 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Started in : Safe mode
User: Falk [Admin rights]
Mode: Scan -- Date : 03/27/2011 16:42:10

Bad processes: 0

Registry Entries: 4
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : FNeRIUUxaGgdGC (C:\Documents and Settings\All Users\Application Data\FNeRIUUxaGgdGC.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1409082233-790525478-725345543-1003[...]\Run : FNeRIUUxaGgdGC (C:\Documents and Settings\All Users\Application Data\FNeRIUUxaGgdGC.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND

HOSTS File:
127.0.0.1 localhost


Finished : << RKreport[1].txt >>
RKreport[1].txt

/////////////////////////////////////////////////////////////////////////////////////////

Puis le 2 :

/////////////////////////////////////////////////////////////////////////////////////////

RogueKiller V4.3.4 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Started in : Safe mode
User: Falk [Admin rights]
Mode: Remove -- Date : 03/27/2011 16:43:18

Bad processes: 0

Registry Entries: 3
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : FNeRIUUxaGgdGC (C:\Documents and Settings\All Users\Application Data\FNeRIUUxaGgdGC.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED

HOSTS File:
127.0.0.1 localhost


Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

/////////////////////////////////////////////////////////////////////////////////////////

Puis le 6 :

/////////////////////////////////////////////////////////////////////////////////////////

RogueKiller V4.3.4 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Started in : Safe mode
User: Falk [Admin rights]
Mode: Shortcuts HJfix -- Date : 03/27/2011 16:51:02

Bad processes: 0

File attributes restored:
Desktop: Success 6016 / Fail 0
Quick launch: Success 13 / Fail 0
Programs: Success 381 / Fail 0
Start menu: Success 0 / Fail 0
: Success 179 / Fail 1
My documents: Success 0 / Fail 1
My favorites: Success 8 / Fail 0
: Success 0 / Fail 0
: Success 0 / Fail 0
: Success 0 / Fail 0
Local drives: Success 3 / Fail 0

Finished : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

/////////////////////////////////////////////////////////////////////////////////////////
0
Utilisateur anonyme
28 mars 2011 à 22:08
rapport.txt apparaitra sur ton bureau a la finb de ce scan , poste-le puis supprime le txt

http://dl.dropbox.com/u/21363431/Pre_Scan.exe
0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
29 mars 2011 à 01:32
Voila m'sieur (par contre je ne l'ai pas fait en sans échec, fallait ? et antivir gueulait quand je lançais ton prog', alors je l'ai désactivé le temps du scan) :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
Utilisateur : Falk (Administrateurs)
Ordinateur : DEEPSTRIKER

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.2180
Mozilla Firefox : 4.0 (fr)

Scan : 23:54:19 | 28/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCR\exefile\..\..\command] : "%1" %*
[HKCR\comfile\..\..\command] : "%1" %*
[HKCR\scrfile\..\..\command] : "%1" /S
[HKCR\batfile\..\..\command] : "%1" %*
[HKCR\piffile\..\..\command] : "%1" %*

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus stoppé
RTHDCPL.exe -> Processus stoppé
SoundMan.exe -> Processus stoppé


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Modification apportée : -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Modification apportée : -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\windefend] | Start -> Modification apportée : -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service wuauserv autorun restored
Service ERSvc autorun restored

restoring show hidden and system files

restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP

scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Falk\Application Data ...
scanning C:\DOCUME~1\Falk\LOCALS~1\Temp\ ...
scanning C:\ ...
scanning D:\ ...
scanning E:\ ...

completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em



enregistre le sur ton bureau et lance l'installation



Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Recherche

▶ laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

▶▶▶ NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ces liens dans ta réponse.
G3?-?@¢??@?......Concepteur de List_Kill'em...
0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
30 mars 2011 à 00:51
Il a en effet bloqué, mais je ne saurais pas dire si c'était à 95%

Voila les logs :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijDNViK0r.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijfvU5Pxd.txt
0
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

Télécharge Defogger (de jpshortstuff) sur ton Bureau

? Lance le

Une fenêtre apparait : clique sur "Disable"

? Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

==============================

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

? Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

? choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


REM:"HKLM\Software\Trymedia Systems"
KLOOK:HKCU\Software\Alerts
KLOOK:HKCU\Software\Eberhard Werle
KLOOK:HKCU\Software\med_scangnrlst
KLOOK:HKCU\Software\Monacosys

? enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

? poste le resultat

? Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

=========================================

? Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

? choisis l'Option Suppression

??? Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

? colle le contenu dans ta reponse

? envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
G3?-?@¢??@?......Concepteur de List_Kill'em...
0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
31 mars 2011 à 00:09
+++Résultat du script+++




¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

Running Process Killed : PID 2068 'Firefox.exe'
Running Process Killed : PID 2068 'Firefox.exe'
Running Process Killed : PID 2668 'explorer.exe'
Running Process Killed : PID 2668 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :


¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :

Suppression : HKLM\Software\Trymedia Systems

¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Signature :


¤¤¤¤¤¤¤¤¤¤ Key Look :

HKEY_CURRENT_USER\software\alerts
13 REG_BINARY 8074a72a413f80fac1b22aca20094d6c410b94d3ff74114f62ea8a24cba7905a2d10e1aea11143a4f58d15a56e507911074ce9162dbdab75a3a58e9b52dd48791186379063783e28f56dd5485b92ddfb8bf5b150c31cf695aa810b9a3aa01aaee2e0aab1606e5cf8b2187277809c17b5ac0060efd419b9d155cb2be30b32fe6f982b8905d925bc40726142f97e5d02fdb14959cfffc2045751c80e6c804abe40f8f6814f010f4aa7980226915e37fdeab289d13154acf7de5eeb6dcae83a93ada7b19c8a97368ff8a51157a36a39b02ec812f93cdd12d7e25e2ac7705935543a052ac0827c11e554e7b7816cbbfcb42897ffff4661f1a20fa6a449268410c00e44ddd8decd0435b445604ae6

HKEY_CURRENT_USER\software\eberhard werle
HKEY_CURRENT_USER\software\eberhard werle\QuickGamma

HKEY_CURRENT_USER\software\med_scangnrlst
serieunique REG_SZ true
path_img REG_SZ R:\images_toshiba\
path_img_pf REG_SZ R:\images_philips\281102\
path_img_demo REG_SZ R:\images_demo\
path_sortie REG_SZ R:\med_scan\
path_sortie_n_compres REG_SZ
path_sortie_protege REG_SZ R:\med_prtg\
bdemo4_caption REG_SZ AZERNEL
image_test REG_SZ true
modif_couleurs REG_SZ true
couleur_fond REG_SZ 30
couleur_fonte REG_SZ 200
comment_ds_serie REG_SZ true
image_type_ds_serie REG_SZ true
mode_SCP REG_SZ true
DelaiChrgmtCDR REG_SZ 10
CloseDisc REG_SZ true
CacheSize REG_SZ 67108864
VolumeLabel REG_SZ SCANPLUS
vitessemax REG_SZ 8
suppr_fic_graves REG_SZ true
repert_defaut REG_SZ
repert_dicom_defaut REG_SZ
repgeneraliste REG_SZ R:\medical\
nbseries REG_SZ 6
repertoire_temporaire REG_SZ R:\Documents and Settings\All Users\Documents\temp\
max_gravés REG_SZ 100
dll_conv REG_SZ C:\Program Files\Fichiers communs\Microsoft Shared\TextConv\mswrd832.cnv
dll_conv_alt REG_SZ
repertoire_cr REG_SZ \Serveur\R5\Cr\
examen_instance_unique REG_SZ true
repert_dernier_jour REG_SZ
diadepart REG_SZ 20
minimun_disque_dur REG_SZ 5000
lbarchive_niveau REG_SZ 0
secrt_pat_autre_jour REG_SZ false
images_cachees_agrandies REG_SZ true
informations_sur_image REG_SZ true
inf_sur_image_actuel REG_SZ true
mesures_oreille_enfoncee REG_SZ true
suppr_fic_rtf REG_SZ true
sur_deux_jours REG_SZ false
lettres_disques REG_SZ
etablissement REG_SZ
imgx2dimx2 REG_SZ true
resume_aff_serie_description REG_SZ true
resume_impr_mesures REG_SZ true
nb_jours_arriere REG_SZ 0
nb_jours_corr_noms REG_SZ 0
nb_jours_rappel_dne REG_SZ 0
rappel_dne_week_end REG_SZ false
repertoire_mac REG_SZ true
jpeg_quality REG_SZ 50
vriconedata REG_SZ OB
ficindexmac REG_SZ VOIR_MAC.HTM
pos_popup_vert REG_SZ -25
F1img_borderwidth REG_SZ 0
html_local REG_SZ false
derniere_erreur REG_SZ
prem_erreur REG_SZ
robot_nom REG_SZ _amigo2
robot_rep_image_iso REG_SZ
robot_rep_pof REG_SZ
robot_rep_label REG_SZ
robot_capacite_cdr REG_SZ 700
robot_capacite_dvd REG_SZ 4482
robot_media_type REG_SZ CD
robot_alerte_ruban REG_SZ 0
duree_maintien_min REG_SZ 0
robot_lancement REG_SZ validation
robot_champ_dateexam REG_SZ Examen du
robot_champ_radiologue REG_SZ false
robot_champ_modalite REG_SZ false
robot_champ_categorie REG_SZ
robot_dvd_oui_non_manuel REG_SZ non
robot_btw_index REG_SZ 0
duree_validation REG_SZ 0
graveur_selectionne REG_SZ
compare_dates REG_SZ false
viewing_miniimg_survol REG_SZ true
imprimante REG_SZ
coord_e-media REG_SZ E-Media tel 06 73 34 31 79
screen_pixelsperinch REG_SZ
repertoire_selection REG_SZ c:\med_bookmak\
module_recherche REG_SZ
lettre_cd_examen REG_SZ d
bookmark REG_SZ c:\med_bookmak\bookmark.exe
cr_fenetre_dicom REG_SZ false
categorie_att REG_SZ sbpi
grv_suppression_cr_visible REG_SZ false
langue REG_SZ
compar_orientation REG_SZ true
repere_date_cr REG_SZ
meme_uid_meme_serie REG_SZ true
reboot_time REG_SZ
reboot_command REG_SZ c:\med_prg\Shutdown.exe -r -n -t90
reboot_delay REG_SZ 600
console_modality_ot_en_ct_mr REG_SZ
comparaison_dim2x_zoom2x REG_SZ true
key_images_name REG_SZ KEY_IMAGES
form2appprocesmsg REG_SZ false
radiologue_GE REG_SZ
radiologue_PH REG_SZ
radiologue_TO REG_SZ
radiologue_SI REG_SZ
affiche_position_coupe REG_SZ true
filtre_recencement_cr REG_SZ
aet_archive_long_terme REG_SZ
nb_mois_archive_long_terme REG_SZ 6
aet_selection_images REG_SZ
nb_heures_fermeture_auto REG_SZ
thrd_jpeg_priority_norm_lwr_lwst_idle REG_SZ lwr
thrdj_pas_file_attente REG_SZ 50
typecomment_comment_stddesc REG_SZ comment
web_acces REG_SZ
web_root_dir REG_SZ
web_SMS_acces REG_SZ
web_max_select REG_SZ 5
web_local_smtp REG_SZ
web_mail_client REG_SZ c:\med_prg\mailclient\blat.exe
web_mail_sender REG_SZ
web_mail_replyto REG_SZ
web_mail_server REG_SZ
web_mail_username REG_SZ
web_mail_password REG_SZ
achivage_jll REG_SZ false
dll_jpeg_avert_indisp REG_SZ
rep_arch_dne REG_SZ c:\med_arch_dne\
reserve_archive_prin REG_SZ
reserve_archive_ncompress REG_SZ
tri_selection_image REG_SZ true
cd_multi_examens REG_SZ false
cd_mult_pat_id_nom REG_SZ false
key_images_champ REG_SZ
force_ihe_pdi REG_SZ false
mdbalim_chemin_ce_pc REG_SZ
mdbalim_nb_jours_maj REG_SZ 7
repert_import_dicom REG_SZ F:\med_sortie\
repert_charge_exam REG_SZ F:\med_sortie\
impression_automatique REG_SZ false
hauteur_titre_fixe REG_SZ 0
hauteur_titre_div REG_SZ 80
marge_h_div REG_SZ 500
marge_h_fixe REG_SZ 0
marge_v_div REG_SZ 0
marge_v_fixe REG_SZ 0
marge_v_ext_div REG_SZ 0
marge_v_ext_fixe REG_SZ 0
marge_h_ext_div REG_SZ 0
marge_h_ext_fixe REG_SZ 0
haut_haut_page_div REG_SZ 80
haut_haut_page_fixe REG_SZ 0
haut_bas_page_div REG_SZ 80
haut_bas_page_fixe REG_SZ 0
resume_max_img REG_SZ 100
resume_max_pages REG_SZ 4
resume_img_page REG_SZ 24
HKEY_CURRENT_USER\software\med_scangnrlst\fenetres
1_nom REG_SZ Poumons
1_centre REG_SZ -600
1_largeur REG_SZ 1600
2_nom REG_SZ Abdomen
2_centre REG_SZ 30
2_largeur REG_SZ 300
3_nom REG_SZ Mediastin
3_centre REG_SZ 50
3_largeur REG_SZ 350
4_nom REG_SZ Cerveau
4_centre REG_SZ 40
4_largeur REG_SZ 80
5_nom REG_SZ Fosse Postérieure
5_centre REG_SZ 50
5_largeur REG_SZ 150
6_nom REG_SZ Os
6_centre REG_SZ 400
6_largeur REG_SZ 2000
7_nom REG_SZ Rocher
7_centre REG_SZ 500
7_largeur REG_SZ 4000
8_nom REG_SZ
8_centre REG_SZ
8_largeur REG_SZ
HKEY_CURRENT_USER\software\med_scangnrlst\multiprin
serveur REG_SZ true
client_num REG_SZ 0
adr_ip_serv REG_SZ scanplus_p1
port_serv REG_SZ 44440
time_out_tcpip REG_SZ 60
time_out_reponse REG_SZ 1000
reconnect_delay REG_SZ 3120
adr_locale REG_SZ 192.168.0.0

Error: Key: software\monacosys does not exist!


End at 21:37:47

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
***********************************************************



+++Et le rapport kill'em+++




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 28/02/2011 | 06.00 par g3n-h@ckm@n
Utilisateur : Falk (Administrateurs)
Ordinateur : DEEPSTRIKER

Système d'exploitation : Microsoft Windows XP (32 bits)

a:\ -> [Removable] | [] | Total : 0 Mo | Free : 0 Mo ->
c:\ -> [Fixed] | [] | Total : 70900 Mo | Free : 14380 Mo -> NTFS
d:\ -> [Fixed] | [New Volume] | Total : 190780 Mo | Free : 136600 Mo -> NTFS
e:\ -> [Fixed] | [New Volume] | Total : 190770 Mo | Free : 64690 Mo -> NTFS
f:\ -> [CDROM] | [] | Total : 0 Mo | Free : 0 Mo ->

Scan : 21:41:33 | 30/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ Winlogon ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | AutoRestartShell = 1
[HKLM\..\..\Winlogon] | Shell = Explorer.exe
[HKLM\..\..\Winlogon] | Userinit = C:\WINDOWS\system32\Userinit.exe,
[HKLM\..\..\Winlogon] | System =
[HKLM\..\..\Winlogon] | PowerdownAfterShutdown = 1

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Internet Explorer\Main] | Start Page=https://www.google.com/?gws_rd=ssl
[HKCU\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
[HKCU\..\..\Internet Explorer\Main] | Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM\..\..\Internet Explorer\Main] | Start Page=https://www.msn.com/fr-fr/?ocid=iehp
[HKLM\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
[HKLM\..\..\Internet Explorer\Main] | Default_Search_URL=https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKLM\..\..\Internet Explorer\Main] | Default_Page_URL=https://www.msn.com/fr-fr/?ocid=iehp
[HKLM\..\..\Internet Explorer\Main] | Search Page=https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

Supprimé : [Your Image File Name Here without a path] -> ntsd -d

¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

Supprimé : [HKCU\..\..\Mountpoints2\{14597bef-8fdc-11dd-b7df-000000000000}] -> command : C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cretae.dll.vbs

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost



¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤





¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤

Valeur Supprimée : [HKCU\..\..\Policies\System] | DisableRegistryTools

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Security Center] | FirstRunDisabled = 1
[HKLM\..\..\Security Center] | AntiVirusOverride = 0
[HKLM\..\..\Security Center] | FirewallOverride = 0
[HKLM\..\..\Security Center] | AntiVirusDisableNotify = 0
[HKLM\..\..\Security Center] | FirewallDisableNotify = 0
[HKLM\..\..\Security Center] | UpdatesDisableNotify = 0


Fin : 21:44:20

¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤





+++L'upload+++


http://www.cijoint.fr/cj201103/cijqdmgCST.zip



Je suis curieux ^_^, solutionner les problèmes de sécurité info, c'est un hobby ? Un travail ? Un challenge ? Un sacerdoce ? :)
60000 messages, ça poutre
0
Utilisateur anonyme
31 mars 2011 à 00:57
tu avais bien desactivé tes protections pour les manips hein ?
0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
31 mars 2011 à 23:30
Euh... je ne crois pas :D

Je recommence sans ? Ou du coup certaines étapes sont à modifier ? (genre le script)
0
Utilisateur anonyme
1 avril 2011 à 00:49
pour repondre à ta question c'est une passion les virus informaatiques :)

===============

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

0
Falk_Oomikami Messages postés 9 Date d'inscription dimanche 18 décembre 2005 Statut Membre Dernière intervention 3 avril 2011
3 avril 2011 à 14:53
Voila le rapport, par contre j'ai viré des trucs dans "listings", j'ai pas envie que tout le monde sache ce qu'il y a sur mon bureau (et y'a du bordel :p) :

############################## | UsbFix 7.043 | [Deletion]

User: Falk (Administrator) # DEEPSTRIKER [ ]
Updated 02/04/2011 by TeamXscript
Started at 13:53:24 | 03/04/2011
Website: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Windows Firewall: Disabled /!\
Antivirus: Avira AntiVir PersonalEdition 8.0.1.30 [(!) Disabled | Updated]
RAM -> 2046 Mb
C:\ (%systemdrive%) -> Fixed drive # 69 Gb (14 Mb free - 20%) [] # NTFS
D:\ -> Fixed drive # 186 Gb (133 Mb free - 72%) [New Volume] # NTFS
E:\ -> Fixed drive # 186 Gb (63 Mb free - 34%) [New Volume] # NTFS
F:\ -> CD-ROM
G:\ -> Removable drive # 4 Gb (3 Mb free - 83%) [NIKON D90] # FAT32
K:\ -> Removable drive # 63 Mb (33 Mb free - 53%) [] # FAT

################## | Files # Infected Folders |


Deleted ! C:\Recycler\S-1-5-21-1409082233-790525478-725345543-1003
Deleted ! D:\Recycler\S-1-5-21-1409082233-790525478-725345543-1003
Deleted ! D:\Recycler\S-1-5-21-1645522239-1085031214-725345543-1003
Deleted ! E:\Recycler\S-1-5-21-1409082233-790525478-725345543-1003
Deleted ! E:\Recycler\S-1-5-21-1645522239-1085031214-725345543-1003
Deleted ! C:\system32

################## | Registry |

Deleted ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Listing |

[30/08/2007 - 16:15:42 | N | 0] C:\AUTOEXEC.BAT
[03/10/2010 - 01:47:26 | N | 211] C:\boot.ini
[31/01/2011 - 20:43:25 | D ] C:\Config.Msi
[30/08/2007 - 16:15:42 | N | 0] C:\CONFIG.SYS
[28/03/2011 - 23:57:08 | D ] C:\Conversion
[30/08/2007 - 16:37:03 | N | 197] C:\csb.log
[04/01/2009 - 18:15:24 | D ] C:\Dell
[30/08/2007 - 16:18:45 | D ] C:\Documents and Settings
[16/12/2008 - 23:34:12 | D ] C:\Games
[30/08/2007 - 16:33:31 | D ] C:\Intel
[30/08/2007 - 16:15:42 | N | 0] C:\IO.SYS
[07/12/2009 - 23:08:45 | D ] C:\Jersey
[30/08/2007 - 16:36:59 | D ] C:\JM
[29/03/2011 - 19:37:29 | D ] C:\Kill'em
[30/08/2007 - 16:15:42 | N | 0] C:\MSDOS.SYS
[29/03/2011 - 00:02:59 | D ] C:\NovaGaming
[04/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[04/08/2004 - 14:00:00 | N | 250032] C:\ntldr
[03/04/2011 - 10:25:47 | ASH | 2145386496] C:\pagefile.sys
[29/03/2011 - 19:37:23 | D ] C:\Program Files
[03/04/2011 - 13:58:04 | SHD ] C:\RECYCLER
[30/08/2007 - 16:36:55 | N | 423] C:\RHDSetup.log
[30/08/2007 - 16:18:09 | SHD ] C:\System Volume Information
[29/03/2011 - 00:32:36 | D ] C:\Temp
[03/04/2011 - 13:58:04 | D ] C:\UsbFix
[03/04/2011 - 13:58:04 | A | 1463] C:\UsbFix.txt
[21/03/2011 - 01:05:13 | N | 19455367] C:\vraylog.txt
[01/05/2009 - 14:15:37 | N | 791077] C:\Wallpaper.jpg
[29/03/2011 - 19:19:38 | D ] C:\WINDOWS
[01/09/2007 - 22:18:12 | N | 146] C:\YServer.txt
[27/01/2010 - 22:02:20 | D ] D:\e30e0fedff994198f1c706c8
[12/02/2009 - 02:55:59 | N | 4542] D:\os000001.pl.htm
[12/02/2009 - 02:55:58 | D ] D:\os000001.pl_fichiers
[03/04/2011 - 13:58:04 | SHD ] D:\RECYCLER
[11/08/2007 - 15:15:13 | SHD ] D:\System Volume Information
[15/12/1999 - 00:56:56 | N | 216096] E:\ntldr
[03/04/2011 - 13:58:04 | SHD ] E:\RECYCLER
[11/08/2007 - 17:49:05 | D ] E:\Sysreset
[11/08/2007 - 14:53:39 | SHD ] E:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_DEEPSTRIKER.zip
http://www.teamxscript.org/Upload.php
Thank you for your contribution.

################## | E.O.F |
0
Utilisateur anonyme
3 avril 2011 à 19:04
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0