[virus] Compte a reboursRésolu/Fermé

Question

Bonjour,

 Mon pc a beaucoup de mal en ce moment: en effet, il me signale la fermeture imprevue avec rapport d'erreur d'un processus windows: "services.exe"
   Un compte a rebour commence alors, initialisé par nt authorities, a cause de la fermeture inopinée de services.exe. 
(j'ai entendu parler du vers sasser ou quelquechose comme ça mais ce n'est pas le bon processus non?)
   J'ai suivi une procédure de désinfection trouvée sur je ne sais plus quel forum(à l'aide deCCleaner, Easycleaner et AVG anti-spyware, tous trois executés en mode sans echec) et j'ai plusieurs fois scanné mon pc (avg free anti virus, bitdefender online scanner).
    Tout semble avoir été supprimé, je reboot mon pc et avg me lance un "threat detected" = fichier suspect mis en quarantaine dans le dossier: "recupération" ou qqch comme ça (mais je ne trouve pas ce dossier).

Je pense vous avoir clairement exposé mon problème alors j'attend vos reponses avec impatience.(mon pc est tt neuf...donc je suis un peu.... enervé pour etre poli...) 

Merci d'avances pour vos réponses.



Anfoine

Regis59 · Answer

Salut,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+

Regis59 · Answer

Salut

Oui c'est bien cela.

Téléchargez ce fix parejvindh sur votre bureau : http://www.uploads.ejvindh.net/rustbfix.exe
Double-cliquez rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Copie colle les rapports.

A+

anfoine · Answer

Désolé je n'arrive vraiment pas bcp a me connecter sur le site pour poster mes réponses ça fait 3h que j'essaye et j'y arrive enfin.
Serait il possible de se contacter par mail?

Sinon voila mon rapport pelog.txt :

************************* Rustock.b-fix -- By ejvindh *************************
28/01/2007 18:09:47,38

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
  :lzx32.sys                              70570
Total size: 70570 bytes.
Attempting to remove ADS...
system32: deleted 70570 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************


Et avenger.txt :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mxysvppe

*******************

Script file located at: \??\C:\WINDOWS\wvqudctp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.

Voila je n'ai rien a ajouter si ce n'est encore merci pour tes réponses

Regis59 · Answer

Salut,

Le site etait indisponible.
Par email, oui possible, contactes en MP.

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Regis59 · Answer

Re,

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

Fermes HijackThis.

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :C:\WINDOWS\system32\autosys.exe  
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

anfoine · Answer

je ne trouve pas le fichier autosys.exe dans ce dossier
ni avec la fenetre parcourir qui s'ouvre, ni avec l'explorateur windows.

(j'ai édité mon message précédent concernant mon navigateur)

que dois-je faire? Ce fichier peut il avoir un autre emplacement/nom sur mon disque?

merci de ton aide

Regis59 · Answer

Et en faisant ceci:

¤Affiche tous les fichiers et dossiers : 
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage 

Coche « afficher les fichiers et dossiers cachés » 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décoche « masquer les extensions dont le type est connu » 
Puis fais «Ok» pour valider les changements. 

Et appliquer !


Tu le trouve?

A+

Regis59 · Answer

Salut

Télécharge: Pocket Killbox ici 
http://www.downloads.subratam.org/KillBox.exe 

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm 

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe 

Fermes Hijackthis.

Double clic sur killbox.exe (Pocket Killbox) 

- coche: delete on reboot 
- Dans "Full Path of File to Delete" 
- Sélectionne "single File"
- copie et colle: 

C:\WINDOWS\system32\autosys.exe 

- clique sur la croix rouge 
- une fenêtre va apparaître pour confirmation clique sur YES 
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES 

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg 
Laisse le pc redémarrer.

Et après reposte un log HijackThis. 

A+

anfoine · Answer

Des le redemarrage, windows me lance une message de securité:
"votre firewall indique qu'il est désactivé"
En fait il fonctionne ou semble fonctionner.
voila le log:

Logfile of HijackThis v1.99.1
Scan saved at 20:10:59, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32svp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Fichiers communs\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32undll32.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMP~1\ASHAMP~1\PopUp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [NMSSupport] "C:\Program Files\Fichiers communs\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" /startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://bitdefender.solutions-antivirus.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Serveur Média Intel(R) Viiv(TM) (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

voila merci

Regis59 · Answer

Salut,

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. 

A+

anfoine · Answer

Voila le rapport kapersky:

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Tuesday, January 30, 2007 8:31:02 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky : 30/01/2007
 Enregistrements dans la base antivirus Kaspersky : 248786
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\

Statistiques de l'analyse:
	Total d'objets analysés: 82760
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:00:33

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\avg7\Log\emc.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\All Users\DRM\drmstore.hds	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\GTek\GTUpdate\AUpdate\NMSSupport\AUNet.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\GTek\GTUpdate\AUpdate\NMSSupport\AUNetDevs.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\GTek\GTUpdate\AUpdate\NMSSupport\IntelHCTAgent.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\cert8.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\history.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\key3.db	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\parent.lock	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\search.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\urlclassifier2.sqlite	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\Cache\_CACHE_001_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\Cache\_CACHE_002_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\Cache\_CACHE_003_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Application Data\Mozilla\Firefox\Profiles\k2i4o4cj.default\Cache\_CACHE_MAP_	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Anteuwaneuh
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\IUSR_NMPR\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\IUSR_NMPR\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\IUSR_NMPR\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML	L'objet est verrouillé	ignoré
C:\Documents and Settings\IUSR_NMPR\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\IUSR_NMPR
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Games\GUILD WARS\Gw.dat	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiondb.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiondb.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectionnameindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectionnameindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectionrevindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectionrevindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiontypedateindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiontypedateindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiontypeindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiontypeindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiontypenameindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_collectiontypenameindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_content.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_content.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_creationdateindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_creationdateindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_propdb.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_propdb.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_typenameindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_typenameindex.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_urldb.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_urldb.mdb2	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_urlindex.mdb1	L'objet est verrouillé	ignoré
C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\db\mb_urlindex.mdb2	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{4B02C384-7184-4C3E-BDF6-30124D5879C7}\RP49\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\Internet Logs\ANTOINE.ldb	L'objet est verrouillé	ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB	L'objet est verrouillé	ignoré
C:\WINDOWS\Internet Logs	vDebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{69A88927-A67B-4D88-A6CF-D5AF121D826E}.crmlog	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\IntelDH.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Media Ce.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\drivers\sptd.sys	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\ZLT015c1.TMP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\ZLT07cab.TMP	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré

Analyse terminée.

Regis59 · Answer

Salut

Ou en sont tes soucis?

A+

anfoine · Answer

ça semble s'être arrété, excuse moi j'ai oublié de te le dire....
J'ai fait tout ce que tu disais et du coup j'avait meme pas remarqué que les messages d'erreurs avaient cessé
depuis le fix de ces lignes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank 

Peut tu me donner des informations sur le problème que j'ai rencontré, ou les moyens d'éviter qu'ils se reproduisent.
En tout cas: merci beaucoup pour ton aide!!!
C'est vraiment sympa d'aider gracieusement les debutants!

j'ai deja remarqué que des messages de temoignages contre les virus ou trucs de ce genre sont demandés apres la résolution des problèmes, dois-je poster un message sur un forum quelquonque?

encore merci et a ++

Regis59 · Answer

Salut

Je n'ai pas tous les documents sur moi mais répond moi a ce message et je t indiquerais un forum ou tu pourras indiquer l infection que tu as subi.
Tu as été infecté par un rootkit appellé PE386.

A+

anfoine · Answer

salut,
okay je ne sais pas trop quoi te repondre si ce n'est merci. 
Merci a toi et a tous ceux qui aident les gens infectés par ces saletés de virus, spywares, vers et autres rootkit. Je voudrait aussi denoncer tous ceux qui créent ces virus  pour une raison qui m'est inconnue...
Quel est l'intéret de ce genre de choses a part emm..... bon je m'emporte. 

Allez, merci encore a toi et bonne continuation!

Amicalement.

Antoine H.

Regis59 · Answer

Salut

Ayé je suis chez moi lol

Pendant que j'y pense:
Je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection : 

Comment se protéger des virus : - Tout ceci est résumé sur cette page : Sécuriser son ordinateur et connaître les menaces 

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection : 
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut : 
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age 
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...) 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : https://malwarecomplaints.info/ 

Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic. 

Pour toutes aides pour poster ton message, tu peux consulter ce lien :  http://www.malekal.com/malwarecomplaints.html 
Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

Nous essayons de collaborer tous ensemble, sur tous les forums, francais et mondiaux pour cesser cette lutte afin d obtenir un Internet Sain !! (contact aupres des FAI...mais la lutte ne semble pas interressé bcp de monde)
Si tout le monde, mais la, il faut que tout le monde s'y sente concerné, on pourrait faire bouger les choses. Mais bon, on a une société individualiste qui a du mal a se mobiliser. Donc....

Pour ces créateurs, le défi je pense.

A+

[virus] Compte a rebours

16 réponses

Newsletters