Problème au démarrage de mon portable - virus
Résolu
valoudebeste
Messages postés
43
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai du redémerrer mon ordinateur car il ramait pas mal. Au démarrage, mon bureau avait changé: plus de photo de papier peint, aucunes icônes sauf Mozilla Firefox, une fenêtre qui s'ouvre et qui me dit qu'il y a une erreur sur mon disque dur puis une autre comme quoi mon uc est à 80% et que c'est critique...
J'ai ouvert le gestionnaire des taches et arrêté des processus louches:
35905272.exe, qui correspond à puTTy SSH Authentification Agent
attrib.exe, qui correspond à utilitaire attribute (il y était 2 fois)
et UtwXKujqtDbKL.exe, qui correspond à puTTy SSH Authentification Agent
Il ne me semble pas que ces processus étaient là avant. En tous cas, quand je les ai arrêtés, les fenêtres ont disparu et tout va mieux. Le problème c'est qu'à chaque fois que je redémarre, ça recommence. J'ai télécharger kaspersky car j'avais des problèmes avec mon anti-virus, qui en fait ne fonctionnait plus (d'où une belle infection de mon système je pense) mais il n'a rien détecté. j'ai fait une anlyse complète du système mais rien.
Que dois-je faire? Aidez-moi svp!
Je me débrouille comme je peux mais je ne suis pas du tout une pro de l'ordi alors si quelqu'un veut bien m'aider en utilisant des termes "civilisés" et pas trop compliqués, ça serait bien gentil! J'ai peur de perdre mes données si ça continue...
Merci d'avance pour l'aide apportée.
Valoudebeste, c'est moi!
J'ai du redémerrer mon ordinateur car il ramait pas mal. Au démarrage, mon bureau avait changé: plus de photo de papier peint, aucunes icônes sauf Mozilla Firefox, une fenêtre qui s'ouvre et qui me dit qu'il y a une erreur sur mon disque dur puis une autre comme quoi mon uc est à 80% et que c'est critique...
J'ai ouvert le gestionnaire des taches et arrêté des processus louches:
35905272.exe, qui correspond à puTTy SSH Authentification Agent
attrib.exe, qui correspond à utilitaire attribute (il y était 2 fois)
et UtwXKujqtDbKL.exe, qui correspond à puTTy SSH Authentification Agent
Il ne me semble pas que ces processus étaient là avant. En tous cas, quand je les ai arrêtés, les fenêtres ont disparu et tout va mieux. Le problème c'est qu'à chaque fois que je redémarre, ça recommence. J'ai télécharger kaspersky car j'avais des problèmes avec mon anti-virus, qui en fait ne fonctionnait plus (d'où une belle infection de mon système je pense) mais il n'a rien détecté. j'ai fait une anlyse complète du système mais rien.
Que dois-je faire? Aidez-moi svp!
Je me débrouille comme je peux mais je ne suis pas du tout une pro de l'ordi alors si quelqu'un veut bien m'aider en utilisant des termes "civilisés" et pas trop compliqués, ça serait bien gentil! J'ai peur de perdre mes données si ça continue...
Merci d'avance pour l'aide apportée.
Valoudebeste, c'est moi!
A voir également:
- Problème au démarrage de mon portable - virus
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Forcer demarrage pc - Guide
- Problème démarrage windows 10 - Guide
- Qu'est ce qui se lance au démarrage de l'ordinateur - Guide
49 réponses
j'y comprends rien avec cette histoire d'admin et de session ....
as-tu utilisé les outils dans la session infectée ou pas ?
as-tu utilisé les outils dans la session infectée ou pas ?
oui mais ça ne marche pas. il me dit que je ne peux pas utiliser combofix car la session infectée n'est pas une session administrateur
là, il me dit "windows ne parvient pas à acccéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des authorisations appropriées pour avoir accès à l'élément."
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
voilà le premier lien
http://www.cijoint.fr/cjlink.php?file=cj201107/cijneBgW15.txt
et voilà l'autre
http://www.cijoint.fr/cjlink.php?file=cj201107/cij8ahsJmY.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijneBgW15.txt
et voilà l'autre
http://www.cijoint.fr/cjlink.php?file=cj201107/cij8ahsJmY.txt
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
bonjour!
voilà le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:32:19 le 05/07/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
DJ Sniff@PC-DE-VALÉRIE (eMachines eMachines G725)
============== ACTION(S) ==============
Fichier supprimé: C:\Windows\system32\76933f8d.exe
Dossier supprimé: C:\Users\DJ Sniff\AppData\LocalLow\AskToolbar
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\76933f8d
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2215634
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2438727
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\PopCap
Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.14 (fr)] ****
FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
HKLM_MozillaPlugins\@garmin.com/GpsControl (x)
HKLM_MozillaPlugins\Adobe Reader (x)
HKLM_Extensions|virtualKeyboard@kaspersky.ru - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru
-- C:\Users\DJ Sniff\AppData\Roaming\Mozilla\FireFox\Profiles\d1cih2pc.default --
Extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E} (Garmin Communicator)
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{82b5e465-dffc-4cf6-a7ca-231629518818} (AddThis)
Searchplugins\orange.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\DJ Sniff\\Downloads
Prefs.js - browser.download.lastDir, C:\\Users\\DJ Sniff\\Desktop\\Val\\Scrapbooking\\Imaginons scrap\\Juin - juillet - août 2011\\...
Prefs.js - browser.search.selectedEngine, Search the Web
Prefs.js - browser.startup.homepage, hxxp://portail.free.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.14
Prefs.js - browser.startup.homepage_reset, hxxps://www.clicrdv.com/pro
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?type=63641&fr=freecause&ei=utf-8&p=
-- C:\Users\Valérie\AppData\Roaming\Mozilla\FireFox\Profiles\9xqc6b5h.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl,
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com/?crg=2.1002
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.14
Prefs.js - keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&crg=2.1002&q=
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl,
Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://r.orange.fr/r/Ohome_accueil?ref=O_toolbar32_hook_defaultPage
Prefs.js - sweetim.toolbar.previous.keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&q=
========================================
**** Internet Explorer Version [8.0.6001.19088] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKCU_Toolbar\WebBrowser|{E47D6D44-6479-461D-BFA3-DBD0DC5A9011} (x)
HKCU_Toolbar\WebBrowser|{7B13EC3E-999A-4B70-B9CB-2617B8323822} (x)
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (x)
HKCU_ElevationPolicy\{3B0D9D9C-F826-4D8A-92C9-5D32CED30E77} - C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe (France Telecom SA)
HKLM_ElevationPolicy\b92dc70e-51c0-42b3-b24a-50cd9127230b - C:\Program Files\eslprintables\eslprintablesToolbarHelper.exe (x)
HKLM_ElevationPolicy\c557f439-5e82-4388-bcc6-f3e16d04615e - C:\Program Files\Zynga\ZyngaToolbarHelper.exe (x)
HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{5864C0EB-0A1D-41BB-B378-BDCB42044972} - C:\Program Files\Orange\ToolbarFR\ToolbarHelper.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (x)
========================================
C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 05/07/2011 10:33:38 (5847 Octet(s))
Fin à: 10:34:52, 05/07/2011
============== E.O.F ==============
voilà le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:32:19 le 05/07/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
DJ Sniff@PC-DE-VALÉRIE (eMachines eMachines G725)
============== ACTION(S) ==============
Fichier supprimé: C:\Windows\system32\76933f8d.exe
Dossier supprimé: C:\Users\DJ Sniff\AppData\LocalLow\AskToolbar
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\76933f8d
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2215634
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2438727
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\PopCap
Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.14 (fr)] ****
FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
HKLM_MozillaPlugins\@garmin.com/GpsControl (x)
HKLM_MozillaPlugins\Adobe Reader (x)
HKLM_Extensions|virtualKeyboard@kaspersky.ru - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru
-- C:\Users\DJ Sniff\AppData\Roaming\Mozilla\FireFox\Profiles\d1cih2pc.default --
Extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E} (Garmin Communicator)
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{82b5e465-dffc-4cf6-a7ca-231629518818} (AddThis)
Searchplugins\orange.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\DJ Sniff\\Downloads
Prefs.js - browser.download.lastDir, C:\\Users\\DJ Sniff\\Desktop\\Val\\Scrapbooking\\Imaginons scrap\\Juin - juillet - août 2011\\...
Prefs.js - browser.search.selectedEngine, Search the Web
Prefs.js - browser.startup.homepage, hxxp://portail.free.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.14
Prefs.js - browser.startup.homepage_reset, hxxps://www.clicrdv.com/pro
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?type=63641&fr=freecause&ei=utf-8&p=
-- C:\Users\Valérie\AppData\Roaming\Mozilla\FireFox\Profiles\9xqc6b5h.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl,
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com/?crg=2.1002
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.14
Prefs.js - keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&crg=2.1002&q=
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl,
Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://r.orange.fr/r/Ohome_accueil?ref=O_toolbar32_hook_defaultPage
Prefs.js - sweetim.toolbar.previous.keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&q=
========================================
**** Internet Explorer Version [8.0.6001.19088] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKCU_Toolbar\WebBrowser|{E47D6D44-6479-461D-BFA3-DBD0DC5A9011} (x)
HKCU_Toolbar\WebBrowser|{7B13EC3E-999A-4B70-B9CB-2617B8323822} (x)
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (x)
HKCU_ElevationPolicy\{3B0D9D9C-F826-4D8A-92C9-5D32CED30E77} - C:\Program Files\Orange\Connexion Internet Orange\Launcher\Launcher.exe (France Telecom SA)
HKLM_ElevationPolicy\b92dc70e-51c0-42b3-b24a-50cd9127230b - C:\Program Files\eslprintables\eslprintablesToolbarHelper.exe (x)
HKLM_ElevationPolicy\c557f439-5e82-4388-bcc6-f3e16d04615e - C:\Program Files\Zynga\ZyngaToolbarHelper.exe (x)
HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{5864C0EB-0A1D-41BB-B378-BDCB42044972} - C:\Program Files\Orange\ToolbarFR\ToolbarHelper.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (x)
========================================
C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 05/07/2011 10:33:38 (5847 Octet(s))
Fin à: 10:34:52, 05/07/2011
============== E.O.F ==============
je remarque une nouveauté encore: j'ai reçu un "faux" mail de mon copain (dont la session sur le portable est infectée). C'est une publicité. dans le sujet du message c'est "attilavaioHappy shopping". je sais que ce n'est évidemment pas lui qui a envoyé ça, ça vient de l'ordi infecté. voilà, si ça peut aider...
toujours sur la session infectée :
▶ Télécharge ici : USBFIX sur ton bureau
branche tous tes periphériques sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Télécharge ici : USBFIX sur ton bureau
branche tous tes periphériques sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
voilà le rapport
############################## | UsbFix 7.048 | [Suppression]
Utilisateur: DJ Sniff (Administrateur) # PC-DE-VALÉRIE [eMachines eMachines G725]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 12:19:36 | 05/07/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
CPU 2: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19088
Pare-feu Windows: Désactivé /!\
RAM -> 3001 Mo
C:\ (%systemdrive%) -> Disque fixe # 288 Go (125 Go libre(s) - 43%) [OS] # NTFS
D:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-710119810-3873494447-2305560728-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-710119810-3873494447-2305560728-1001
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
################## | Listing |
[05/07/2011 - 12:20:49 | SHD ] C:\$RECYCLE.BIN
[20/05/2010 - 20:36:11 | N | 668] C:\aaw7boot.log
[07/07/2009 - 17:19:27 | D ] C:\ACER
[07/07/2009 - 17:18:27 | D ] C:\ACERSW
[05/07/2011 - 10:34:52 | N | 5986] C:\Ad-Report-CLEAN[1].txt
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[25/03/2009 - 17:23:13 | D ] C:\book
[16/02/2010 - 12:33:42 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[04/03/2009 - 09:59:18 | N | 8192] C:\BOOTSECT.BAK
[04/07/2011 - 18:16:46 | N | 13071] C:\ComboFix.txt
[04/07/2011 - 01:50:03 | D ] C:\Config.Msi
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[02/11/2006 - 14:59:44 | SHD ] C:\Documents and Settings
[22/12/2009 - 01:25:57 | D ] C:\Games
[28/02/2011 - 14:07:16 | D ] C:\IDrive
[04/03/2009 - 02:46:14 | D ] C:\Intel
[04/07/2011 - 20:40:19 | D ] C:\Kill'em
[04/03/2009 - 02:57:34 | RD ] C:\MSOCache
[05/07/2011 - 10:36:13 | ASH | 3461591040] C:\pagefile.sys
[21/01/2008 - 04:43:50 | D ] C:\PerfLogs
[04/07/2011 - 20:40:19 | N | 8066] C:\Pre_script.txt
[05/07/2011 - 10:27:06 | D ] C:\Program Files
[04/07/2011 - 01:59:42 | D ] C:\ProgramData
[04/07/2011 - 18:16:55 | D ] C:\Qoobox
[04/03/2009 - 02:52:13 | N | 2469] C:\RHDSetup.log
[03/07/2011 - 23:35:25 | D ] C:\rsit
[04/07/2011 - 13:14:26 | SHD ] C:\System Volume Information
[05/07/2011 - 12:20:49 | D ] C:\UsbFix
[05/07/2011 - 12:19:36 | A | 2604] C:\UsbFix.txt
[08/07/2009 - 20:05:28 | D ] C:\Users
[04/07/2011 - 16:25:02 | D ] C:\Valerie
[04/07/2011 - 18:16:56 | D ] C:\Valerie19619V
[25/03/2009 - 17:20:46 | N | 386750] C:\vcredist_x86.log
[04/07/2011 - 18:12:28 | D ] C:\Windows
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-VALÉRIE.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
############################## | UsbFix 7.048 | [Suppression]
Utilisateur: DJ Sniff (Administrateur) # PC-DE-VALÉRIE [eMachines eMachines G725]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 12:19:36 | 05/07/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
CPU 2: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19088
Pare-feu Windows: Désactivé /!\
RAM -> 3001 Mo
C:\ (%systemdrive%) -> Disque fixe # 288 Go (125 Go libre(s) - 43%) [OS] # NTFS
D:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-710119810-3873494447-2305560728-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-710119810-3873494447-2305560728-1001
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
################## | Listing |
[05/07/2011 - 12:20:49 | SHD ] C:\$RECYCLE.BIN
[20/05/2010 - 20:36:11 | N | 668] C:\aaw7boot.log
[07/07/2009 - 17:19:27 | D ] C:\ACER
[07/07/2009 - 17:18:27 | D ] C:\ACERSW
[05/07/2011 - 10:34:52 | N | 5986] C:\Ad-Report-CLEAN[1].txt
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[25/03/2009 - 17:23:13 | D ] C:\book
[16/02/2010 - 12:33:42 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[04/03/2009 - 09:59:18 | N | 8192] C:\BOOTSECT.BAK
[04/07/2011 - 18:16:46 | N | 13071] C:\ComboFix.txt
[04/07/2011 - 01:50:03 | D ] C:\Config.Msi
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[02/11/2006 - 14:59:44 | SHD ] C:\Documents and Settings
[22/12/2009 - 01:25:57 | D ] C:\Games
[28/02/2011 - 14:07:16 | D ] C:\IDrive
[04/03/2009 - 02:46:14 | D ] C:\Intel
[04/07/2011 - 20:40:19 | D ] C:\Kill'em
[04/03/2009 - 02:57:34 | RD ] C:\MSOCache
[05/07/2011 - 10:36:13 | ASH | 3461591040] C:\pagefile.sys
[21/01/2008 - 04:43:50 | D ] C:\PerfLogs
[04/07/2011 - 20:40:19 | N | 8066] C:\Pre_script.txt
[05/07/2011 - 10:27:06 | D ] C:\Program Files
[04/07/2011 - 01:59:42 | D ] C:\ProgramData
[04/07/2011 - 18:16:55 | D ] C:\Qoobox
[04/03/2009 - 02:52:13 | N | 2469] C:\RHDSetup.log
[03/07/2011 - 23:35:25 | D ] C:\rsit
[04/07/2011 - 13:14:26 | SHD ] C:\System Volume Information
[05/07/2011 - 12:20:49 | D ] C:\UsbFix
[05/07/2011 - 12:19:36 | A | 2604] C:\UsbFix.txt
[08/07/2009 - 20:05:28 | D ] C:\Users
[04/07/2011 - 16:25:02 | D ] C:\Valerie
[04/07/2011 - 18:16:56 | D ] C:\Valerie19619V
[25/03/2009 - 17:20:46 | N | 386750] C:\vcredist_x86.log
[04/07/2011 - 18:12:28 | D ] C:\Windows
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-VALÉRIE.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
pre_scan tu l'avais lancé de la session saine ? si c'est le cas relance-le de cette session infectée après l'avoir retelechargé
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
""=-
[-HKEY_CURRENT_USER\Software\3]
[-HKEY_CURRENT_USER\Software\7910.org]
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
file::
C:\ProgramData\UtwXKujqtDbKL.exe
C:\Users\DJ Sniff\AppData\Roaming\7910.org
C:\Users\DJ Sniff\AppData\Local\.mpid
folder::
C:\Users\DJ Sniff\AppData\Roaming\igraal
C:\ProgramData\d3a7ed3
C:\Users\DJ Sniff\AppData\Local\ib
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
""=-
[-HKEY_CURRENT_USER\Software\3]
[-HKEY_CURRENT_USER\Software\7910.org]
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
file::
C:\ProgramData\UtwXKujqtDbKL.exe
C:\Users\DJ Sniff\AppData\Roaming\7910.org
C:\Users\DJ Sniff\AppData\Local\.mpid
folder::
C:\Users\DJ Sniff\AppData\Roaming\igraal
C:\ProgramData\d3a7ed3
C:\Users\DJ Sniff\AppData\Local\ib
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Valérie (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 01:59:41
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys
folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-
list::
C:\ProgramData\d3a7ed3
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Supprimé : C:\ProgramData\27B9ADD24C.sys
Supprimé : C:\ProgramData\KGyGaAvL.sys
¤
Supprimé : C:\Users\Valérie\AppData\Roaming\PopCapv1002
Supprimé : C:\ProgramData\PopCap Games
Absent : C:\ProgramData\SweetIM
Absent : C:\Program Files\SweetIM
¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Valérie (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 02:08:26
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys
folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-
list::
C:\ProgramData\d3a7ed3
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\ProgramData\27B9ADD24C.sys
Absent : C:\ProgramData\KGyGaAvL.sys
¤
Absent : C:\Users\Valérie\AppData\Roaming\PopCapv1002
Absent : C:\ProgramData\PopCap Games
Absent : C:\ProgramData\SweetIM
Absent : C:\Program Files\SweetIM
¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Valérie (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 20:40:19
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys
folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-
list::
C:\ProgramData\d3a7ed3
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\ProgramData\27B9ADD24C.sys
Absent : C:\ProgramData\KGyGaAvL.sys
¤
Absent : C:\Users\Valérie\AppData\Roaming\PopCapv1002
Absent : C:\ProgramData\PopCap Games
Absent : C:\ProgramData\SweetIM
Absent : C:\Program Files\SweetIM
¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : DJ Sniff (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 13:51:13
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\UtwXKujqtDbKL.exe
C:\Users\DJ Sniff\AppData\Roaming\7910.org
C:\Users\DJ Sniff\AppData\Local\.mpid
folder::
C:\Users\DJ Sniff\AppData\Roaming\igraal
C:\ProgramData\d3a7ed3
C:\Users\DJ Sniff\AppData\Local\ib
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
""=-
[-HKEY_CURRENT_USER\Software\3]
[-HKEY_CURRENT_USER\Software\7910.org]
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\ProgramData\UtwXKujqtDbKL.exe
Non Supprimé : C:\Users\DJ Sniff\AppData\Roaming\7910.org
Supprimé : C:\Users\DJ Sniff\AppData\Local\.mpid
¤
Supprimé : C:\Users\DJ Sniff\AppData\Roaming\igraal
Supprimé : C:\ProgramData\d3a7ed3
Supprimé : C:\Users\DJ Sniff\AppData\Local\ib
¤
Disques externes : 0 Objets réattribués
Disque Local : 7 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 2277 Objets réattribués
Music : 106 Objets réattribués
Pictures : 213 Objets réattribués
Videos : 6 Objets réattribués
Downloads : 172 Objets réattribués
Desktop : 8008 Objets réattribués
Links : 7 Objets réattribués
Searches : 9 Objets réattribués
Contacts : 2 Objets réattribués
Saved Games : 2 Objets réattribués
Favorites : 55 Objets réattribués
Documents : 5 Objets réattribués
Windows : 258 Objets réattribués
StartMenu : 28 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 2726 Objets réattribués
¤
explorer.exe -> Processus redémarré
Fin : 14:00:20
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Valérie (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 01:59:41
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys
folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-
list::
C:\ProgramData\d3a7ed3
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Supprimé : C:\ProgramData\27B9ADD24C.sys
Supprimé : C:\ProgramData\KGyGaAvL.sys
¤
Supprimé : C:\Users\Valérie\AppData\Roaming\PopCapv1002
Supprimé : C:\ProgramData\PopCap Games
Absent : C:\ProgramData\SweetIM
Absent : C:\Program Files\SweetIM
¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Valérie (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 02:08:26
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys
folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-
list::
C:\ProgramData\d3a7ed3
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\ProgramData\27B9ADD24C.sys
Absent : C:\ProgramData\KGyGaAvL.sys
¤
Absent : C:\Users\Valérie\AppData\Roaming\PopCapv1002
Absent : C:\ProgramData\PopCap Games
Absent : C:\ProgramData\SweetIM
Absent : C:\Program Files\SweetIM
¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : Valérie (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 20:40:19
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\27B9ADD24C.sys
C:\ProgramData\KGyGaAvL.sys
folder::
C:\Users\Valérie\AppData\Roaming\PopCapv1002
C:\ProgramData\PopCap Games
C:\ProgramData\SweetIM
C:\Program Files\SweetIM
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{EEE6C35B-6118-11DC-9C72-001320C79847}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\PopCap]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL.exe"=-
list::
C:\ProgramData\d3a7ed3
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\ProgramData\27B9ADD24C.sys
Absent : C:\ProgramData\KGyGaAvL.sys
¤
Absent : C:\Users\Valérie\AppData\Roaming\PopCapv1002
Absent : C:\ProgramData\PopCap Games
Absent : C:\ProgramData\SweetIM
Absent : C:\Program Files\SweetIM
¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Utilisateur : DJ Sniff (Administrateurs)
Ordinateur : PC-DE-VALÉRIE
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19088
Mozilla Firefox : 3.6.14 (fr)
Switchs possibles :
processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::
Script : 13:51:13
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
switchs :
file::
C:\ProgramData\UtwXKujqtDbKL.exe
C:\Users\DJ Sniff\AppData\Roaming\7910.org
C:\Users\DJ Sniff\AppData\Local\.mpid
folder::
C:\Users\DJ Sniff\AppData\Roaming\igraal
C:\ProgramData\d3a7ed3
C:\Users\DJ Sniff\AppData\Local\ib
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UtwXKujqtDbKL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
""=-
[-HKEY_CURRENT_USER\Software\3]
[-HKEY_CURRENT_USER\Software\7910.org]
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]
attrib::
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuéé
¤
Absent : C:\ProgramData\UtwXKujqtDbKL.exe
Non Supprimé : C:\Users\DJ Sniff\AppData\Roaming\7910.org
Supprimé : C:\Users\DJ Sniff\AppData\Local\.mpid
¤
Supprimé : C:\Users\DJ Sniff\AppData\Roaming\igraal
Supprimé : C:\ProgramData\d3a7ed3
Supprimé : C:\Users\DJ Sniff\AppData\Local\ib
¤
Disques externes : 0 Objets réattribués
Disque Local : 7 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 2277 Objets réattribués
Music : 106 Objets réattribués
Pictures : 213 Objets réattribués
Videos : 6 Objets réattribués
Downloads : 172 Objets réattribués
Desktop : 8008 Objets réattribués
Links : 7 Objets réattribués
Searches : 9 Objets réattribués
Contacts : 2 Objets réattribués
Saved Games : 2 Objets réattribués
Favorites : 55 Objets réattribués
Documents : 5 Objets réattribués
Windows : 258 Objets réattribués
StartMenu : 28 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 2726 Objets réattribués
¤
explorer.exe -> Processus redémarré
Fin : 14:00:20
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤