Trojan dowloader ruin inextirpable

nanaglobale Messages postés 13 Statut Membre -  
Qc001 Messages postés 256 Statut Membre -
bjr, je suis infectée par trojan-dowloader-ruin et spy swepper n'arrive pas à l'éradiquer. la localisation faite par le logiciel: c:\windows\explorer.exe.
Est-ce grâve, quels sont les risques pour ma bécane et comment m'en débarrasser?
un grand merci
Configuration: w xp
kaspersky antivir
spy sweeper 
explorer 6.0

30 réponses

  • 1
  • 2
Résumé de la discussion

Une infection trojan-dowloader-ruin détectée par Spy Sweeper est discutée, avec l’emplacement supposé c:\windows\explorer.exe et des risques potentiels pour la machine. Plusieurs conseils recommandent d’employer Fixwareout et d’autres outils de nettoyage, en insistant sur une vérification minutieuse des fichiers et des clés de registre et sur l’attention à distinguer les éléments légitimes des traces d’infection. Des interventions complémentaires évoquent l’emploi d’outils alternatifs comme BlackLight, la nécessité de dézipper et relancer des scripts dans un cadre sécurisé, et l’entraide pour partager les rapports et les procédures appropriées. En cas de persistance, certains recommandent de retenter l’analyse après désactivation temporaire de l’antivirus et d’effectuer une nouvelle opération de décompression sécurisée pour éviter les blocages et les faux positifs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    # Télécharge ceci: (merci a S!RI pour ce petit programme).

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    il va générer un rapport : copie/colle le sur le poste stp.

    ++

    ***Le deuxieme mot le plus important apres Aimer, c'est Aider! ...***
    0
    1. nanaglobale Messages postés 13 Statut Membre
       
      Salut Greenday, et merci pour l'aide mais j'arrive pas à lancer l'application, je crois que c'est à cause du logiciel de décompression, je n'en n'ai pas... Que faire?
      0
      1. nanaglobale Messages postés 13 Statut Membre > bernie61
         
        Coucou Bernie, merci pour le tch de zip mais maintenant qu'il est sur mon program file, il refuse de se lancer. j'y comprends plus rien, faut croire que le Trojan a niqué ma bécane...
        0
      2. bernie61 > nanaglobale Messages postés 13 Statut Membre
         
        re
        désactives un moment ton antivirus
        refais un dézip du fichier et relances le fichier .cmd
        a+
        0
      3. nanaglobale Messages postés 13 Statut Membre > bernie61
         
        Bon, je vais te sembler très tarte, et je le suis, mais je ne sais pas m'en servir de ce dézippeur, il est en américain et moi j'y comprends rien; J'y renonce, d'autant qu'à force de télécharger toute sorte de choses, vla ty pas qu'mon ordi s'est mis à refuser d'ouvrir le moindre logiciel, problème réglé en relançant la bécane, mais ça ne me plait pas du tout.
        A plus.
        0
  2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Dur dur lol

    Merci à Bernie ;-)

    on va un peu nettoyer et on verra le fixe après :

    télécharge ceci :

    #Ewido (gratuit) :
    https://www.avg.com/en-ww/free-antivirus-download

    tuto : (merci à Moe) http://perso.wanadoo.fr/entraide-hijackthis/Ewido/

    fais un copier/coller du rapport ici stp


    # CleanUp40 (qui élimine les fichiers temporaires + cookies : gratuit )
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    tuto : (merci à Balltrap) http://pageperso.aol.fr/balltrap34/democleanup.htm

    ++
    0
  3. Qc001 Messages postés 256 Statut Membre 17
     
    Salut Green Day :-)

    Mon pif me dit "Wareout", que tu pourras confirmer avec un rapport HijackThis! Si c'est la dernière variante, il est possible qu'Ewido n'y voit rien..

    @+ ;-)
    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    'Lu Qc001 ;-)

    tu dis ça par rapport à ce qui l'infecte ???

    ++
    0
    1. nanaglobale Messages postés 13 Statut Membre
       
      Salut greenday,
      j'ai réussi, je crois, à faire un Hijackthis sans tchger l'application puisque hier je n'arrivais pas à la lancer ni à utiliser le décompresseur de fichier zip. au lieu de dire "save", j'ai dit "run" et le logiciel, apparemment, effectue un fichier log à distance. Que je te copie-folle ci-après; pour info, l'orid est dde plus en plus bizarre. les logiciels se bloquent par moment sans que je sache pourquoi; Seule la relance du système permet de revenir à un état normal jusqu'pà ce qu'un nouveau bloccage n'intervienne.
      ogfile of HijackThis v1.99.1
      Scan saved at 15:43:16, on 18/04/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Winamp\winampa.exe
      C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
      C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\asac\urah.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\GQI1B3DN\HijackThis[1].exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
      O4 - HKLM\..\Run: [uio] 34763.exe
      O4 - HKLM\..\Run: [321102] new32.exe
      O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
      O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
      O4 - HKCU\..\Run: [utsgmon] zxc.exe
      O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
      O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
      O4 - Global Startup: BlueSoleil.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
      O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
      O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
      O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
      O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
      O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

      Fin du rapport, envoyé aussi à BallTrap comme demandé.
      Merci pour ton aide.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Qc001 Messages postés 256 Statut Membre 17
     
    Coucou Green Day :-)

    En effet, je me suis fié au titre de la discussion ; on parle de Ruin, donc j'ai pensé à "Ruins" qui est typique de Wareout.

    En regardant le rapport HJT, on voit bien les O17 qui pointent vers l'Ukraine - typique de Wareout. Y a d'autres bestioles aussi, mais on commence par lui ;-)
    ==================

    Nanaglobale : télécharge FixWareout d'un de ces deux sites:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    Sauvegarde-le sur Bureau, puis lance le. Clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le s.t.p..
    Ton système mettra un peu plus de temps au démarrage, c'est normal.
    Au redémarrage, un fichier texte apparaîtra ; copie/colle ce rapport dans ta prochaine réponse, avec un tout nouveau rapport HijackThis! également.

    @+
    0
  7. nanaglobale Messages postés 13 Statut Membre
     
    Merci pour l'aide, c'est vraiment chouette à vous,
    j'ai fait le fix Wareout, et apparemment, ça a bien marché sauf que aucun texte n'est apparu à l'écran suite au démarrage. fais un autre log Hijack, voici:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:57:12, on 18/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\asac\urah.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\NCMZ91ER\HijackThis[1].exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [uio] 34763.exe
    O4 - HKLM\..\Run: [321102] new32.exe
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
    O4 - HKCU\..\Run: [utsgmon] zxc.exe
    O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
    O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
    O4 - Global Startup: BlueSoleil.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    fin du rapport
    0
  8. nanaglobale Messages postés 13 Statut Membre
     
    Coucou, me revoilà,
    je refait un fixwareout sur la deuxième adresse et là, bingo, le rapport de texte est apparu; le voici suivi d'un nouveau Hijack fait suite au fixwareout.

    ixwareout ver 1.003
    Last edited 2/15/2006
    Post this report in the forums please

    Reg Entries that were deleted
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
    ...

    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Search by size and names...
    * csr.exe C:\WINDOWS\System32\CSPPE.EXE

    »»»»» Misc files

    »»»»» Checking for older varients covered by the Rem3 tool

    log Hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 18:11:49, on 18/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\asac\urah.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\NCMZ91ER\HijackThis[1].exe

    fin des rapports, le dernier Hijack est beaucoup plus court que les précédnts, est-ce grave docteur?
    0
  9. BmV Messages postés 43699 Date d'inscription   Statut Modérateur Dernière intervention   4 963
     
    Salut.

    Apparemment t'as loupé toute la deuxième partie (les R0, R3, 02, ... 016 etc...) au copier-coller !
    Recommence tranquillement

    D'autre part, et sauf erreur, je ne vois nulle part d'antivirus ni de firewall dans ta machine !!!!
    Pour info et si mes souvenirs sont bons, Kaspersky Antivir n'est qu'un antivirus "sur demande", qui donc vérifiera ta machine quand il est activé ponctuellement, mais qui n'agit pas en permanence, ce qui fait qu'entre deux vérifications manuelles, tu as tout le temps de laisser passer des cochonneries diverse.

    Donc il faut remédier à ça très rapidement, d'autant qu'il existe de très bons outils gratuits et fiables dans ce domaine, du moins pour un usage privé.

    Voir pour ça https://sebsauvage.net/ et en priorité https://sebsauvage.net/safehex.html ; tout est très clairement expliqué ebn français "de tous les jours".

    Mais en parallèle, il faut quand même continuer le processus de désinfection commencé ci-dessus, bien sûr !

    Au boulot.

    A+
    0
  10. Qc001 Messages postés 256 Statut Membre 17
     
    Rebonjour Nanaglobale :-)

    Il me semble que l'outil n'a pas fait le travail... dommage que nous n'ayons pas le premier rapport. J'aurais dû t'indiquer le chemin complet de ce rapport :-( Pas grave, on va reprendre la manip.

    Supprime les deux versions de Fixwareout que tu as téléchargés. Le log que tu as posté indique que la dernière MAJ de l'outil date de Février, alors que ça devrait être Mars.. Télécharge à nouveau à partir de ce lien :
    http://downloads.subratam.org/Fixwareout.exe

    ..et sauvegarde-le sur ton Bureau. Lance-le. Clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le s.t.p..
    Ton système mettra un peu plus de temps au démarrage, c'est normal.
    Lorsque redémarré, trouve le rapport situé ici :

    C:\fixwareout\report.txt

    ..ouvre-le, puis copie/colle son contenu ici, avec un nouveau rapport HijackThis! complet (de haut en bas..lol..).

    @+
    0
  11. nanaglobale Messages postés 13 Statut Membre
     
    Salut BmV, merci pour ton oeil avisé, et voilà la suite du log HJT ci dessous.
    Non seulement y a les 03, mais aussi les 017 qui soit dit-en, pointent vers l'Ukraine, typique de Wareout comme dit ton confrère QC001; Alors quid? Ca marche ou pas ce FixWareout?
    En tout cas, pour info, j'ai relancé un Spysweeper et il trouve toujours le Trojan-dowloader-ruin. Suis vraiment ruinée?
    Quant à Kaspersky, il est activé en temps réel, d'après ce k'il raconte, et puis je le vois bien puisque de temps en temps il se met à hurler des cris affreux de cochon égorgé...
    Ceci dit, puis-je ajouter les antivir que tu me suggère ou alors c'est incompatible avec Kasper?
    j'ai aussi Tchg CleanUp sur conseil de GreenDay, et il m'a éliminé un tas de milliers de fichiers dégueux libérant ainsi un paquet de mémoire;
    ERci pour l'aide, à plus.

    Logfile of HijackThis v1.99.1
    Scan saved at 18:55:46, on 18/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\SZ0747AT\HijackThis[1].exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [uio] 34763.exe
    O4 - HKLM\..\Run: [321102] new32.exe
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
    O4 - HKCU\..\Run: [utsgmon] zxc.exe
    O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
    O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
    O4 - Global Startup: BlueSoleil.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    fin du rapport entier
    0
  12. bernie61
     
    hello
    en attendant greenDay et les autres

    *Configure ton ordi pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :
    Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
    - afficher les fichiers et dossier cachés
    - afficher contenu dossier système
    décocher
    - masquer fichiers protégés du dossier système
    Puis cliquer APPLIQUER à TOUS les Dossiers

    2. Relances Hijackthis et coche (puis FIX)
    O4 - HKLM\..\Run: [uio] 34763.exe
    O4 - HKLM\..\Run: [321102] new32.exe
    O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
    O4 - HKCU\..\Run: [utsgmon] zxc.exe
    O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
    O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
    O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    3. Effacer ces programmes .EXE et .DLL( et à la fin vider la corbeille)
    C:… 34763.exe
    c:… new32.exe
    C:.. Testimonials.exe
    c:… zxc.exe
    c:… MSTCPDLL.exe
    C:\Program Files\asac\urah.exe" -vt wnew

    5. vider les répertoires temps et la corbeille, en lançant Ccleaner
    Refais un hijackthis de contrôle et dis nous où en sont les problèmes
    0
  13. nanaglobale Messages postés 13 Statut Membre
     
    réponse à Qc001
    j'ai refait le fix à partir de ton dernier lien, voici le report:
    Fixwareout ver 1.003
    Last edited 04/09/2006
    Post this report in the forums please

    Reg Entries that were deleted
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    ...

    PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    Example ipsec6.exe is lagitamate

    »»»»» Search by size and names...

    »»»»» Misc files

    »»»»» Checking for older varients covered by the Rem3 tool

    fin du report

    voici le tout dernier HJT

    Logfile of HijackThis v1.99.1
    Scan saved at 19:33:22, on 18/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Nath\Local Settings\Temporary Internet Files\Content.IE5\SJSHO723\HijackThis[1].exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R3 - URLSearchHook: (no name) - {8A8D87C7-67CA-624C-2290-81CB19EA4B8A} - SpyElim.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [uio] 34763.exe
    O4 - HKLM\..\Run: [321102] new32.exe
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SysSupport] Testimonials.exe
    O4 - HKCU\..\Run: [utsgmon] zxc.exe
    O4 - HKCU\..\Run: [runload32] MSTCPDLL.exe
    O4 - HKCU\..\Run: [Nwad] "C:\Program Files\asac\urah.exe" -vt wnew
    O4 - Global Startup: BlueSoleil.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - http://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D70D93-F829-4599-AB2F-1C2602ED5D2D}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B43C98-E5E2-47B9-8EEE-BBF393C2B8A7}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O17 - HKLM\System\CS2\Services\Tcpip\..\{4B1DAF6F-0137-4D06-AD1A-20B675142ABE}: NameServer = 85.255.116.150,85.255.112.24
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    fin,
    Attends nouvelles instructions.
    0
  14. Qc001 Messages postés 256 Statut Membre 17
     
    Arf... l'outil ne tourne pas comme il devrait !

    Je soupçonne que ce soit le bouclier de Spy Sweeper qui bloque le fix.

    Quasi toutes ces lignes O4 (et O17) sont liées à Wareout, qui lui est protégé par un rootkit, donc nous avons besoin de l'outil ! lol..

    Ok, fais un clic-droit sur l'icône de Spy Sweeper, près de l'horloge, et clique "Shutdown". Repasse Fixwareout. Je dois absolument voir son rapport !! Poste-le avec un nouveau log HijackThis! s.t.p. Petit rappel : le log de Fixwareout se trouve ici :

    C:\fixwareout\report.txt <<

    Note : si ça ne marche toujours pas, ben y faudra attaquer avec d'autres outils... pas jojo, mais faisable ;-)

    @+
    0
    1. nanaglobale Messages postés 13 Statut Membre
       
      QC001, je crois que l'outil ne répond pas comme tu dis, le dernier rapport de Fixwareout fait avec sweeper désactivé est le même, du coup, je pense inutile de refaire un HJT?

      voici le fix, merci à toi

      ixwareout ver 1.003
      Last edited 04/09/2006
      Post this report in the forums please

      Reg Entries that were deleted
      ...

      Microsoft (R) Windows Script Host Version 5.6
      Random Runs removed from HKLM
      ...

      PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
      Example ipsec6.exe is lagitamate

      »»»»» Search by size and names...

      »»»»» Misc files

      »»»»» Checking for older varients covered by the Rem3 tool
      0
  15. nanaglobale Messages postés 13 Statut Membre
     
    OK QC001, j'ai désactiv& le sweeper, je recommence; A tout de suite
    0
  16. Regis59
     
    Salut a tous,

    Pour ruins, si il ne pars pas avec fixwareout, contactez moi sur l entraide, j ai un programme qui pourrait servir.

    a+
    0
  17. nanaglobale Messages postés 13 Statut Membre
     
    D'accord Régis, mais c'est où l'entre-aide?
    0
  18. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    tu parles de quel prog le pro ???

    ;-P
    0
  19. Regis59
     
    Un petit .bat fait maison avec Moe.

    Je l utilisais tout au debut de l infection wareout et ca permet d afficher un rapport sur ruins.

    Si ca t interresses, il doit encore etre sur mon DD, je rechercherais.

    a+
    0
  20. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    mais vous êtes vraiment très forts !!!

    si tu pouvait le poster sur votre forum, avec une ptite explication pour l'utilisation, ce serait très cool ;-)

    merki
    0
  • 1
  • 2