Drop.Agent.AB et TR/Starter.Y
Résolu/Fermé
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
-
26 mars 2011 à 19:34
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 31 mars 2011 à 18:52
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 31 mars 2011 à 18:52
A voir également:
- Drop.Agent.AB et TR/Starter.Y
- We tr - Télécharger - Téléchargement & Transfert
- Tr mail - Forum Messagerie
- Google tr - Télécharger - Traduction
- Sennheiser tr 4200 problème - Forum Casque / Micro / kit
- Objet tr ✓ - Forum iPhone
83 réponses
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 19:00
28 mars 2011 à 19:00
salut alors tu sens de l'amélioration ? :)
DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)
▶ Télécharge ici :List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Exécuter List_Kill'em
une fois terminée , clic sur "terminer"
lance-le via le raccourci apparu sur ton bureau comme précité au début
choisis l'option Search
▶ laisse travailler l'outil
à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Fais de même avec more.txt qui se trouve sur ton bureau
▶ Copie ces liens dans ta réponse.
DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)
▶ Télécharge ici :List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Exécuter List_Kill'em
une fois terminée , clic sur "terminer"
lance-le via le raccourci apparu sur ton bureau comme précité au début
choisis l'option Search
▶ laisse travailler l'outil
à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Fais de même avec more.txt qui se trouve sur ton bureau
▶ Copie ces liens dans ta réponse.
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 20:38
28 mars 2011 à 20:38
Il travaille, ça va venir......
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 20:41
28 mars 2011 à 20:41
on est pas pressé :)
ramnit a du sauter ;)
ramnit a du sauter ;)
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 20:44
28 mars 2011 à 20:44
Il bloque sur vérification amorce disque
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 20:46
28 mars 2011 à 20:46
regarde si list'em et more sont sur ton bureau si oui ferme le et envoie les rapports :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 20:49
28 mars 2011 à 20:49
Il plante à chaque fois, peux plus rien faire........
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 20:50
28 mars 2011 à 20:50
Ctrl Alt Delete > Processus > List'em.exe > clic droit Terminer
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 21:11
28 mars 2011 à 21:11
ci-joint.
pour more, y'en n'a pô!
http://www.cijoint.fr/cjlink.php?file=cj201103/cijdVeWmda.txt
pour more, y'en n'a pô!
http://www.cijoint.fr/cjlink.php?file=cj201103/cijdVeWmda.txt
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
Modifié par juju666 le 28/03/2011 à 21:43
Modifié par juju666 le 28/03/2011 à 21:43
ouais ben ramnit encore là grrrrrrrrr
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ Relance List&Kill'em , avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'option Tools puis Kill Proxy
laisse travailler l'outil.
en fin de scan un rapport s'ouvre
▶ colle le contenu dans ta reponse
=========================================================
ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!
▶ Relance List&Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'option Tools puis Script
une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer
un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :
▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le
laisse travailler l'outil
▶ poste le resultat
▶ Ferme List_Kill'em
Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
=========================================================
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."
▶ Relance List_Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'Option Suppression
▶▶▶ Ne clique qu'une seule fois sur le bouton !!
laisse travailler l'outil.
en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta réponse
======================================================
▶ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
XP : double clic sur UsbFix
▶ Clique sur "Suppression"
▶ Laisse travailler l'outil
▶ Ton Bureau va disparaitre: c'est normal
▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
▶ Aide en images : Tutoriel "Nettoyage"
Bon courage on va y arriver t'inquiète ;)
.::. Contributeur Sécurité .::.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ Relance List&Kill'em , avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'option Tools puis Kill Proxy
laisse travailler l'outil.
en fin de scan un rapport s'ouvre
▶ colle le contenu dans ta reponse
=========================================================
ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!
▶ Relance List&Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'option Tools puis Script
une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer
un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :
PROC:fjqhacox.exe FILE:C:\Program Files\wcnsosse REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "TeaTimer" PORT:139:TCP PORT:445:TCP PORT:137:UDP PORT:138:UDP PORT:1900:UDP PORT:2869:TCP PORT:8080:TCP PORT:1234:TCP
▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le
laisse travailler l'outil
▶ poste le resultat
▶ Ferme List_Kill'em
Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
=========================================================
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."
▶ Relance List_Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'Option Suppression
▶▶▶ Ne clique qu'une seule fois sur le bouton !!
laisse travailler l'outil.
en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta réponse
======================================================
▶ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
XP : double clic sur UsbFix
▶ Clique sur "Suppression"
▶ Laisse travailler l'outil
▶ Ton Bureau va disparaitre: c'est normal
▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
▶ Aide en images : Tutoriel "Nettoyage"
Bon courage on va y arriver t'inquiète ;)
.::. Contributeur Sécurité .::.
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 21:44
28 mars 2011 à 21:44
Ah, j'ai aussi injector.ek...........
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 21:48
28 mars 2011 à 21:48
c'est en francais, j'ai réinitialiser le proxy, c'est ça?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 22:17
28 mars 2011 à 22:17
ouais ;)
¤¤¤¤¤¤¤¤¤¤ Proxy ¤¤¤¤¤¤¤¤¤¤
[HKCU\..\..\Internet Settings] | ProxyHttp1.1 = 1
[HKCU\..\..\Internet Settings] | ProxyEnable = 0
[HKCU\..\..\Internet Settings] | EnableHttp1_1 = 1
[HKCU\..\..\Internet Settings] | ProxyServer =
[HKCU\..\..\Internet Settings] | AutoConfigProxy = wininet.dll
¤¤¤¤¤¤¤¤¤¤ Réparation ¤¤¤¤¤¤¤¤¤¤
[HKCU\..\..\Internet Settings] | ProxyHttp1.1 = 1
[HKCU\..\..\Internet Settings] | ProxyEnable = 0
[HKCU\..\..\Internet Settings] | EnableHttp1_1 = 1
[HKCU\..\..\Internet Settings] | ProxyServer =
[HKCU\..\..\Internet Settings] | AutoConfigProxy = wininet.dll
[HKCU\..\..\Internet Settings] | ProxyHttp1.1 = 1
[HKCU\..\..\Internet Settings] | ProxyEnable = 0
[HKCU\..\..\Internet Settings] | EnableHttp1_1 = 1
[HKCU\..\..\Internet Settings] | ProxyServer =
[HKCU\..\..\Internet Settings] | AutoConfigProxy = wininet.dll
¤¤¤¤¤¤¤¤¤¤ Réparation ¤¤¤¤¤¤¤¤¤¤
[HKCU\..\..\Internet Settings] | ProxyHttp1.1 = 1
[HKCU\..\..\Internet Settings] | ProxyEnable = 0
[HKCU\..\..\Internet Settings] | EnableHttp1_1 = 1
[HKCU\..\..\Internet Settings] | ProxyServer =
[HKCU\..\..\Internet Settings] | AutoConfigProxy = wininet.dll
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 22:23
28 mars 2011 à 22:23
vu, la suite stp ton pc va se faire du bien :) :P
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 22:35
28 mars 2011 à 22:35
nouveau changement de pc..... je navigue entre les deux car pas possible de me connecter sur pc malade.....
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤
User : Clément (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 22:27:09 | 28/03/2011
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled
AV : AntiVir Desktop 10.0.1.56 [ (!) Disabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 48,82 Go (9,1 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 53,71 Go (15,08 Go free) [Mes documents] | NTFS
F:\ -> Disque fixe local | 141,6 Go (60,4 Go free) [ DONNEES & Musique] | NTFS
G:\ -> Disque fixe local | 53,95 Go (27,38 Go free) [DONNEES et dessins animés] | NTFS
H:\ -> Disque amovible | 7,45 Go (987,92 Mo free) [CLÉ USB SOF] | FAT32
I:\ -> Disque fixe local | 195,31 Go (24,07 Go free) [VIDEOS] | NTFS
K:\ -> Disque amovible | 3,79 Go (831,94 Mo free) [CARTE PHOTO] | FAT32
L:\ -> Disque fixe local | 195,31 Go (13,8 Go free) [SERIES] | NTFS
M:\ -> Disque fixe local | 48,83 Go (13,78 Go free) [PHOTOS] | NTFS
N:\ -> Disque fixe local | 26,3 Go (8,4 Go free) [MUSIQUE] | FAT32
Z:\ -> Connexion réseau | 228,26 Go (0 Mo free) [Disque dur] | NTFS
Killed : PID 900 'explorer.exe'
Killed : PID 900 'explorer.exe'
Killed : PID 628 'TeaTimer.exe'
¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers
Mis en quarantaine : C:\Documents and Settings\Cl'ment\Application Data\SystemRequirementsLab\SystemRequirementsLab.exe
Mis en quarantaine : \ZHPDiag2.exe
Mis en quarantaine : \List_Killem_Install.exe
Mis en quarantaine : C:\WINDOWS\SET3.tmp
Mis en quarantaine : C:\WINDOWS\SET4.tmp
Mis en quarantaine : C:\WINDOWS\SET8.tmp
Mis en quarantaine : C:\WINDOWS\System32\_000006_.tmp(2).dll
Mis en quarantaine : C:\WINDOWS\xobglu16.dll
Mis en quarantaine : C:\WINDOWS\xobglu32.dll
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
C:\WINDOWS\System32\Drivers\etc\hosts
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤
Suppression : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio -> Start = 3
EapHost -> Start = 2
Ip6Fw -> Start = 2
SharedAccess -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\WINDOWS\System32\userinit.exe,
VMapplet = rundll32 shell32,Control_RunDLL sysdm.cpl
System =
PowerdownAfterShutdown = 1
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
TDSS | svchost | Internet Explorer:
====================================
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: MAXTOR_STM3320820AS rev.3.AAE -> Harddisk0\DR0 -> \Device\0000006d
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys >>UNKNOWN [0x8A6121F8]<<
C:\WINDOWS\system32\drivers\prosync1.sys Protection Technology StarForce Protection System
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A567030]
3 CLASSPNP[0xBA118FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000006f[0x8A561AC0]
5 ACPI[0xB9E66620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000006d[0x8A54F030]
\Driver\nvata[0x8A4BEA80] -> IRP_MJ_CREATE -> 0x8A6121F8
kernel: MBR read successfully
user & kernel MBR OK
Fin du Nettoyage : 22:28:03
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤
User : Clément (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 22:27:09 | 28/03/2011
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled
AV : AntiVir Desktop 10.0.1.56 [ (!) Disabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 48,82 Go (9,1 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 53,71 Go (15,08 Go free) [Mes documents] | NTFS
F:\ -> Disque fixe local | 141,6 Go (60,4 Go free) [ DONNEES & Musique] | NTFS
G:\ -> Disque fixe local | 53,95 Go (27,38 Go free) [DONNEES et dessins animés] | NTFS
H:\ -> Disque amovible | 7,45 Go (987,92 Mo free) [CLÉ USB SOF] | FAT32
I:\ -> Disque fixe local | 195,31 Go (24,07 Go free) [VIDEOS] | NTFS
K:\ -> Disque amovible | 3,79 Go (831,94 Mo free) [CARTE PHOTO] | FAT32
L:\ -> Disque fixe local | 195,31 Go (13,8 Go free) [SERIES] | NTFS
M:\ -> Disque fixe local | 48,83 Go (13,78 Go free) [PHOTOS] | NTFS
N:\ -> Disque fixe local | 26,3 Go (8,4 Go free) [MUSIQUE] | FAT32
Z:\ -> Connexion réseau | 228,26 Go (0 Mo free) [Disque dur] | NTFS
Killed : PID 900 'explorer.exe'
Killed : PID 900 'explorer.exe'
Killed : PID 628 'TeaTimer.exe'
¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers
Mis en quarantaine : C:\Documents and Settings\Cl'ment\Application Data\SystemRequirementsLab\SystemRequirementsLab.exe
Mis en quarantaine : \ZHPDiag2.exe
Mis en quarantaine : \List_Killem_Install.exe
Mis en quarantaine : C:\WINDOWS\SET3.tmp
Mis en quarantaine : C:\WINDOWS\SET4.tmp
Mis en quarantaine : C:\WINDOWS\SET8.tmp
Mis en quarantaine : C:\WINDOWS\System32\_000006_.tmp(2).dll
Mis en quarantaine : C:\WINDOWS\xobglu16.dll
Mis en quarantaine : C:\WINDOWS\xobglu32.dll
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
C:\WINDOWS\System32\Drivers\etc\hosts
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤
Suppression : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio -> Start = 3
EapHost -> Start = 2
Ip6Fw -> Start = 2
SharedAccess -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\WINDOWS\System32\userinit.exe,
VMapplet = rundll32 shell32,Control_RunDLL sysdm.cpl
System =
PowerdownAfterShutdown = 1
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
TDSS | svchost | Internet Explorer:
====================================
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: MAXTOR_STM3320820AS rev.3.AAE -> Harddisk0\DR0 -> \Device\0000006d
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys >>UNKNOWN [0x8A6121F8]<<
C:\WINDOWS\system32\drivers\prosync1.sys Protection Technology StarForce Protection System
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A567030]
3 CLASSPNP[0xBA118FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000006f[0x8A561AC0]
5 ACPI[0xB9E66620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000006d[0x8A54F030]
\Driver\nvata[0x8A4BEA80] -> IRP_MJ_CREATE -> 0x8A6121F8
kernel: MBR read successfully
user & kernel MBR OK
Fin du Nettoyage : 22:28:03
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 22:36
28 mars 2011 à 22:36
vu tu as fait le script? :) je peux voir le rapport ?
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤
User : Clément (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 22:22:02 | 28/03/2011
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled
AV : AntiVir Desktop 10.0.1.56 [ (!) Disabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 48,82 Go (9,09 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 53,71 Go (15,08 Go free) [Mes documents] | NTFS
F:\ -> Disque fixe local | 141,6 Go (60,4 Go free) [ DONNEES & Musique] | NTFS
G:\ -> Disque fixe local | 53,95 Go (27,38 Go free) [DONNEES et dessins animés] | NTFS
H:\ -> Disque amovible | 7,45 Go (987,89 Mo free) [CLÉ USB SOF] | FAT32
I:\ -> Disque fixe local | 195,31 Go (24,07 Go free) [VIDEOS] | NTFS
K:\ -> Disque amovible | 3,79 Go (831,94 Mo free) [CARTE PHOTO] | FAT32
L:\ -> Disque fixe local | 195,31 Go (13,8 Go free) [SERIES] | NTFS
M:\ -> Disque fixe local | 48,83 Go (13,78 Go free) [PHOTOS] | NTFS
N:\ -> Disque fixe local | 26,3 Go (8,4 Go free) [MUSIQUE] | FAT32
Z:\ -> Connexion réseau | 228,26 Go (0 Mo free) [Disque dur] | NTFS
Running Process Killed : PID 976 'Firefox.exe'
Running Process Killed : PID 976 'Firefox.exe'
Running Process Killed : PID 292 'explorer.exe'
Running Process Killed : PID 292 'explorer.exe'
¤¤¤¤¤¤¤¤¤¤ Processus :
stoppe : fjqhacox.exe
¤¤¤¤¤¤¤¤¤¤ Added Keys :
¤¤¤¤¤¤¤¤¤¤ Removed Keys :
¤¤¤¤¤¤¤¤¤¤ Ports closed :
Suppression : 139:TCP
Suppression : 445:TCP
Suppression : 137:UDP
Suppression : 138:UDP
Suppression : 1900:UDP
Suppression : 2869:TCP
Suppression : 8080:TCP
Suppression : 1234:TCP
¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
¤¤¤¤¤¤¤¤¤¤ Object Restored :
¤¤¤¤¤¤¤¤¤¤ Folder List :
¤¤¤¤¤¤¤¤¤¤ Read File :
¤¤¤¤¤¤¤¤¤¤ Sign control :
¤¤¤¤¤¤¤¤¤¤ Key Look :
End at 22:23:46
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
User : Clément (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 22:22:02 | 28/03/2011
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled
AV : AntiVir Desktop 10.0.1.56 [ (!) Disabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 48,82 Go (9,09 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 53,71 Go (15,08 Go free) [Mes documents] | NTFS
F:\ -> Disque fixe local | 141,6 Go (60,4 Go free) [ DONNEES & Musique] | NTFS
G:\ -> Disque fixe local | 53,95 Go (27,38 Go free) [DONNEES et dessins animés] | NTFS
H:\ -> Disque amovible | 7,45 Go (987,89 Mo free) [CLÉ USB SOF] | FAT32
I:\ -> Disque fixe local | 195,31 Go (24,07 Go free) [VIDEOS] | NTFS
K:\ -> Disque amovible | 3,79 Go (831,94 Mo free) [CARTE PHOTO] | FAT32
L:\ -> Disque fixe local | 195,31 Go (13,8 Go free) [SERIES] | NTFS
M:\ -> Disque fixe local | 48,83 Go (13,78 Go free) [PHOTOS] | NTFS
N:\ -> Disque fixe local | 26,3 Go (8,4 Go free) [MUSIQUE] | FAT32
Z:\ -> Connexion réseau | 228,26 Go (0 Mo free) [Disque dur] | NTFS
Running Process Killed : PID 976 'Firefox.exe'
Running Process Killed : PID 976 'Firefox.exe'
Running Process Killed : PID 292 'explorer.exe'
Running Process Killed : PID 292 'explorer.exe'
¤¤¤¤¤¤¤¤¤¤ Processus :
stoppe : fjqhacox.exe
¤¤¤¤¤¤¤¤¤¤ Added Keys :
¤¤¤¤¤¤¤¤¤¤ Removed Keys :
¤¤¤¤¤¤¤¤¤¤ Ports closed :
Suppression : 139:TCP
Suppression : 445:TCP
Suppression : 137:UDP
Suppression : 138:UDP
Suppression : 1900:UDP
Suppression : 2869:TCP
Suppression : 8080:TCP
Suppression : 1234:TCP
¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
¤¤¤¤¤¤¤¤¤¤ Object Restored :
¤¤¤¤¤¤¤¤¤¤ Folder List :
¤¤¤¤¤¤¤¤¤¤ Read File :
¤¤¤¤¤¤¤¤¤¤ Sign control :
¤¤¤¤¤¤¤¤¤¤ Key Look :
End at 22:23:46
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 22:50
28 mars 2011 à 22:50
c est préférable :)
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 23:12
28 mars 2011 à 23:12
Re re re.
PAs moyen d'afficher le rapport..... Je l'ai trouvé, puis effacé par erreur me semble-t-il (dossier usbfix vide sous C:)
Je refias USB fix?
NB, apparemment, il est guéri, mon PC!!!
PAs moyen d'afficher le rapport..... Je l'ai trouvé, puis effacé par erreur me semble-t-il (dossier usbfix vide sous C:)
Je refias USB fix?
NB, apparemment, il est guéri, mon PC!!!
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
28 mars 2011 à 23:17
28 mars 2011 à 23:17
Ah non, je l'ai retrouvé!
Il est très indiscret ce rapport, faut vraiment que je le mette ici?????????????????????
Il est très indiscret ce rapport, faut vraiment que je le mette ici?????????????????????
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 23:18
28 mars 2011 à 23:18
envoie le moi par mp si tu prefere :)
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
28 mars 2011 à 23:59
28 mars 2011 à 23:59
bien j ai eu le rapport, tu as encore des alertes de ton antivirus ?
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
passable
Messages postés
160
Date d'inscription
vendredi 11 juillet 2008
Statut
Membre
Dernière intervention
22 février 2021
6
29 mars 2011 à 00:27
29 mars 2011 à 00:27
TJS là, mais vais au lit.
Avira me trouve tjs ramnit.........
Et zhp me fait bugger le pc, qui se bloque, obligé de le re démarrer.
La suite demain, bonne nuit et merci
Avira me trouve tjs ramnit.........
Et zhp me fait bugger le pc, qui se bloque, obligé de le re démarrer.
La suite demain, bonne nuit et merci