Précédent
- 1
- 2
OK,
Rien de suspect dans cette liste de trucs.
Nous les avons fait vérifier par VirusTotal précédemment.
Je passe à table.
à+..
Al.
Rien de suspect dans cette liste de trucs.
Nous les avons fait vérifier par VirusTotal précédemment.
Je passe à table.
à+..
Al.
Allo?
1°- Tu n'as pas fait ceci du post # 16 POURQUOI ? :
4°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:
-R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
-O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
-O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
-O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
-O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
-O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
-O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
-O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
-O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
-O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]
2°- N'oublie pas ceci :
Flash_disinfector et kill_autorun_vbs.bat ?
Comment se comporte PC ?
3°- Ces deux lignes de Panda sont litigieuses, surtout la première.
-C:\Documents and Settings\famly.FSC361210060712\Desktop\call.exe
-C:\WINDOWS\system32\call.exe
Suspecté d'être Troj/Adclick-CQ includes functionality to access the internet and communicate with a remote server via HTTP. When Troj/Adclick-CQ is installed the following files are created: <Program Files>\systems\call.exe ; ce qui n'est pas le cas.
Mais je voudrais faire vérifier ce fichier call.exe en ces deux emplacements par VirusTotal ( comme tu connais la procédure post # 13 ):
-C:\Documents and Settings\famly.FSC361210060712\Desktop\
-C:\WINDOWS\system32\
4°- Je me sens obligé de te demander ceci :
Voici la première partie de la suite : télécharger directement le .exe ici :
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.
Ensuite double clique sur « Navilog1.exe », puis « Exécuter » pour lancer l'installation.
Choisis la langue usuelle.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci navilog1 présent sur le bureau).
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).
Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci
Merci
1°- Tu n'as pas fait ceci du post # 16 POURQUOI ? :
4°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:
-R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
-O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
-O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
-O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
-O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe
-O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
-O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
-O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
-O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
-O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]
2°- N'oublie pas ceci :
Flash_disinfector et kill_autorun_vbs.bat ?
Comment se comporte PC ?
3°- Ces deux lignes de Panda sont litigieuses, surtout la première.
-C:\Documents and Settings\famly.FSC361210060712\Desktop\call.exe
-C:\WINDOWS\system32\call.exe
Suspecté d'être Troj/Adclick-CQ includes functionality to access the internet and communicate with a remote server via HTTP. When Troj/Adclick-CQ is installed the following files are created: <Program Files>\systems\call.exe ; ce qui n'est pas le cas.
Mais je voudrais faire vérifier ce fichier call.exe en ces deux emplacements par VirusTotal ( comme tu connais la procédure post # 13 ):
-C:\Documents and Settings\famly.FSC361210060712\Desktop\
-C:\WINDOWS\system32\
4°- Je me sens obligé de te demander ceci :
Voici la première partie de la suite : télécharger directement le .exe ici :
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.
Ensuite double clique sur « Navilog1.exe », puis « Exécuter » pour lancer l'installation.
Choisis la langue usuelle.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci navilog1 présent sur le bureau).
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).
Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci
Merci
re
pour le truc hjt, j'ai bien coché et tout mais j'ai oublié de cliquer sur fix :$
jte met le rapport :
Logfile of HijackThis v1.99.1
Scan saved at 23:55:44, on 27/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijackthis\Scan.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
wala :)
et effectivement le fichier call.exe a du apparaitre avec le virus... :
log avec l'emplacement sur le bureau
STATUS: FINISHEDComplete scanning result of "call.exe", received in VirusTotal at 06.28.2007, 00:58:12 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.27.0 06.27.2007 no virus found
AntiVir 7.4.0.34 06.27.2007 DR/Dldr.Agent.bls.60
Authentium 4.93.8 06.27.2007 no virus found
Avast 4.7.997.0 06.27.2007 no virus found
AVG 7.5.0.476 06.28.2007 no virus found
BitDefender 7.2 06.27.2007 Trojan.Agent.AAJJ
CAT-QuickHeal 9.00 06.27.2007 no virus found
ClamAV devel-20070416 06.28.2007 no virus found
DrWeb 4.33 06.27.2007 Trojan.DownLoader.24721
eSafe 7.0.15.0 06.27.2007 Win32.Agent.bls
eTrust-Vet 30.8.3747 06.28.2007 no virus found
Ewido 4.0 06.27.2007 no virus found
FileAdvisor 1 06.28.2007 no virus found
Fortinet 2.91.0.0 06.27.2007 W32/Agent.BLS!tr.dldr
F-Prot 4.3.2.48 06.27.2007 no virus found
F-Secure 6.70.13030.0 06.28.2007 Trojan-Downloader.Win32.Agent.bls
Ikarus T3.1.1.8 06.27.2007 no virus found
Kaspersky 4.0.2.24 06.28.2007 Trojan.Win32.Agent.apt
McAfee 5062 06.27.2007 no virus found
Microsoft 1.2701 06.27.2007 no virus found
NOD32v2 2359 06.27.2007 Win32/Adware.Virtumonde
Norman 5.80.02 06.27.2007 W32/Agent.BTKX.dropper
Panda 9.0.0.4 06.28.2007 Adware/Yazzle
Sophos 4.19.0 06.24.2007 Virtumundo
Sunbelt 2.2.907.0 06.27.2007 no virus found
Symantec 10 06.28.2007 no virus found
TheHacker 6.1.6.139 06.27.2007 no virus found
VBA32 3.12.0.2 06.27.2007 Trojan-Downloader.Win32.Agent.bls
VirusBuster 4.3.23:9 06.27.2007 no virus found
Webwasher-Gateway 6.0.1 06.27.2007 Trojan.Dldr.Agent.bls.60
Aditional Information
File size: 71906 bytes
MD5: 551212ea95747f9f1479fe39e5fbe12d
SHA1: ffc0b84f90f27754e6849413d5bbdcd68e7c645a
packers: BINARYRES, UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Creating several executable files on hard-drive.
* File length: 71906 bytes.
[ Changes to filesystem ]
* Creates directory C:WINDOWSTEMP.
* Creates file C:WINDOWSTEMP sx8999.tmp.
* Deletes file C:WINDOWSTEMP sx8999.tmp.
* Creates file C:WINDOWSTEMP irst.exe.
* Creates file C:WINDOWSTEMPsecond.exe.
* Creates file C:WINDOWSTEMP sz0099.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp.
* Creates directory C:WINDOWS.
* Creates directory C:WINDOWSTEMP sz0099.tmp.
* Creates file C:WINDOWSTEMP sz0099.tmp sExec.dll.
* Creates file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmpNSEXEC.DLL.
* Deletes directory C:WINDOWSTEMP sz0099.tmp.
[ Signature Scanning ]
* C:WINDOWSTEMP irst.exe (37901 bytes) : W32/Agent.BTKX.
et le log sous system32
STATUS: FINISHEDComplete scanning result of "call.exe", received in VirusTotal at 06.28.2007, 01:05:17 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.27.0 06.27.2007 no virus found
AntiVir 7.4.0.34 06.27.2007 DR/Dldr.Agent.bls.60
Authentium 4.93.8 06.27.2007 no virus found
Avast 4.7.997.0 06.27.2007 no virus found
AVG 7.5.0.476 06.28.2007 no virus found
BitDefender 7.2 06.27.2007 Trojan.Agent.AAJJ
CAT-QuickHeal 9.00 06.27.2007 no virus found
ClamAV devel-20070416 06.28.2007 no virus found
DrWeb 4.33 06.27.2007 Trojan.DownLoader.24721
eSafe 7.0.15.0 06.27.2007 Win32.Agent.bls
eTrust-Vet 30.8.3747 06.28.2007 no virus found
Ewido 4.0 06.27.2007 no virus found
FileAdvisor 1 06.28.2007 no virus found
Fortinet 2.91.0.0 06.27.2007 W32/Agent.BLS!tr.dldr
F-Prot 4.3.2.48 06.27.2007 no virus found
F-Secure 6.70.13030.0 06.28.2007 Trojan-Downloader.Win32.Agent.bls
Ikarus T3.1.1.8 06.27.2007 no virus found
Kaspersky 4.0.2.24 06.28.2007 Trojan.Win32.Agent.apt
McAfee 5062 06.27.2007 no virus found
Microsoft 1.2701 06.27.2007 no virus found
NOD32v2 2359 06.27.2007 Win32/Adware.Virtumonde
Norman 5.80.02 06.27.2007 W32/Agent.BTKX.dropper
Panda 9.0.0.4 06.28.2007 Adware/Yazzle
Sophos 4.19.0 06.24.2007 Virtumundo
Sunbelt 2.2.907.0 06.27.2007 no virus found
Symantec 10 06.28.2007 no virus found
TheHacker 6.1.6.137 06.26.2007 no virus found
VBA32 3.12.0.2 06.27.2007 Trojan-Downloader.Win32.Agent.bls
VirusBuster 4.3.23:9 06.27.2007 no virus found
Webwasher-Gateway 6.0.1 06.27.2007 Trojan.Dldr.Agent.bls.60
Aditional Information
File size: 71906 bytes
MD5: 551212ea95747f9f1479fe39e5fbe12d
SHA1: ffc0b84f90f27754e6849413d5bbdcd68e7c645a
packers: BINARYRES, UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Creating several executable files on hard-drive.
* File length: 71906 bytes.
[ Changes to filesystem ]
* Creates directory C:WINDOWSTEMP.
* Creates file C:WINDOWSTEMP sx8999.tmp.
* Deletes file C:WINDOWSTEMP sx8999.tmp.
* Creates file C:WINDOWSTEMP irst.exe.
* Creates file C:WINDOWSTEMPsecond.exe.
* Creates file C:WINDOWSTEMP sz0099.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp.
* Creates directory C:WINDOWS.
* Creates directory C:WINDOWSTEMP sz0099.tmp.
* Creates file C:WINDOWSTEMP sz0099.tmp sExec.dll.
* Creates file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmpNSEXEC.DLL.
* Deletes directory C:WINDOWSTEMP sz0099.tmp.
[ Signature Scanning ]
* C:WINDOWSTEMP irst.exe (37901 bytes) : W32/Agent.BTKX.
=D
pour le truc hjt, j'ai bien coché et tout mais j'ai oublié de cliquer sur fix :$
jte met le rapport :
Logfile of HijackThis v1.99.1
Scan saved at 23:55:44, on 27/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijackthis\Scan.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
wala :)
et effectivement le fichier call.exe a du apparaitre avec le virus... :
log avec l'emplacement sur le bureau
STATUS: FINISHEDComplete scanning result of "call.exe", received in VirusTotal at 06.28.2007, 00:58:12 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.27.0 06.27.2007 no virus found
AntiVir 7.4.0.34 06.27.2007 DR/Dldr.Agent.bls.60
Authentium 4.93.8 06.27.2007 no virus found
Avast 4.7.997.0 06.27.2007 no virus found
AVG 7.5.0.476 06.28.2007 no virus found
BitDefender 7.2 06.27.2007 Trojan.Agent.AAJJ
CAT-QuickHeal 9.00 06.27.2007 no virus found
ClamAV devel-20070416 06.28.2007 no virus found
DrWeb 4.33 06.27.2007 Trojan.DownLoader.24721
eSafe 7.0.15.0 06.27.2007 Win32.Agent.bls
eTrust-Vet 30.8.3747 06.28.2007 no virus found
Ewido 4.0 06.27.2007 no virus found
FileAdvisor 1 06.28.2007 no virus found
Fortinet 2.91.0.0 06.27.2007 W32/Agent.BLS!tr.dldr
F-Prot 4.3.2.48 06.27.2007 no virus found
F-Secure 6.70.13030.0 06.28.2007 Trojan-Downloader.Win32.Agent.bls
Ikarus T3.1.1.8 06.27.2007 no virus found
Kaspersky 4.0.2.24 06.28.2007 Trojan.Win32.Agent.apt
McAfee 5062 06.27.2007 no virus found
Microsoft 1.2701 06.27.2007 no virus found
NOD32v2 2359 06.27.2007 Win32/Adware.Virtumonde
Norman 5.80.02 06.27.2007 W32/Agent.BTKX.dropper
Panda 9.0.0.4 06.28.2007 Adware/Yazzle
Sophos 4.19.0 06.24.2007 Virtumundo
Sunbelt 2.2.907.0 06.27.2007 no virus found
Symantec 10 06.28.2007 no virus found
TheHacker 6.1.6.139 06.27.2007 no virus found
VBA32 3.12.0.2 06.27.2007 Trojan-Downloader.Win32.Agent.bls
VirusBuster 4.3.23:9 06.27.2007 no virus found
Webwasher-Gateway 6.0.1 06.27.2007 Trojan.Dldr.Agent.bls.60
Aditional Information
File size: 71906 bytes
MD5: 551212ea95747f9f1479fe39e5fbe12d
SHA1: ffc0b84f90f27754e6849413d5bbdcd68e7c645a
packers: BINARYRES, UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Creating several executable files on hard-drive.
* File length: 71906 bytes.
[ Changes to filesystem ]
* Creates directory C:WINDOWSTEMP.
* Creates file C:WINDOWSTEMP sx8999.tmp.
* Deletes file C:WINDOWSTEMP sx8999.tmp.
* Creates file C:WINDOWSTEMP irst.exe.
* Creates file C:WINDOWSTEMPsecond.exe.
* Creates file C:WINDOWSTEMP sz0099.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp.
* Creates directory C:WINDOWS.
* Creates directory C:WINDOWSTEMP sz0099.tmp.
* Creates file C:WINDOWSTEMP sz0099.tmp sExec.dll.
* Creates file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmpNSEXEC.DLL.
* Deletes directory C:WINDOWSTEMP sz0099.tmp.
[ Signature Scanning ]
* C:WINDOWSTEMP irst.exe (37901 bytes) : W32/Agent.BTKX.
et le log sous system32
STATUS: FINISHEDComplete scanning result of "call.exe", received in VirusTotal at 06.28.2007, 01:05:17 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.27.0 06.27.2007 no virus found
AntiVir 7.4.0.34 06.27.2007 DR/Dldr.Agent.bls.60
Authentium 4.93.8 06.27.2007 no virus found
Avast 4.7.997.0 06.27.2007 no virus found
AVG 7.5.0.476 06.28.2007 no virus found
BitDefender 7.2 06.27.2007 Trojan.Agent.AAJJ
CAT-QuickHeal 9.00 06.27.2007 no virus found
ClamAV devel-20070416 06.28.2007 no virus found
DrWeb 4.33 06.27.2007 Trojan.DownLoader.24721
eSafe 7.0.15.0 06.27.2007 Win32.Agent.bls
eTrust-Vet 30.8.3747 06.28.2007 no virus found
Ewido 4.0 06.27.2007 no virus found
FileAdvisor 1 06.28.2007 no virus found
Fortinet 2.91.0.0 06.27.2007 W32/Agent.BLS!tr.dldr
F-Prot 4.3.2.48 06.27.2007 no virus found
F-Secure 6.70.13030.0 06.28.2007 Trojan-Downloader.Win32.Agent.bls
Ikarus T3.1.1.8 06.27.2007 no virus found
Kaspersky 4.0.2.24 06.28.2007 Trojan.Win32.Agent.apt
McAfee 5062 06.27.2007 no virus found
Microsoft 1.2701 06.27.2007 no virus found
NOD32v2 2359 06.27.2007 Win32/Adware.Virtumonde
Norman 5.80.02 06.27.2007 W32/Agent.BTKX.dropper
Panda 9.0.0.4 06.28.2007 Adware/Yazzle
Sophos 4.19.0 06.24.2007 Virtumundo
Sunbelt 2.2.907.0 06.27.2007 no virus found
Symantec 10 06.28.2007 no virus found
TheHacker 6.1.6.137 06.26.2007 no virus found
VBA32 3.12.0.2 06.27.2007 Trojan-Downloader.Win32.Agent.bls
VirusBuster 4.3.23:9 06.27.2007 no virus found
Webwasher-Gateway 6.0.1 06.27.2007 Trojan.Dldr.Agent.bls.60
Aditional Information
File size: 71906 bytes
MD5: 551212ea95747f9f1479fe39e5fbe12d
SHA1: ffc0b84f90f27754e6849413d5bbdcd68e7c645a
packers: BINARYRES, UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Creating several executable files on hard-drive.
* File length: 71906 bytes.
[ Changes to filesystem ]
* Creates directory C:WINDOWSTEMP.
* Creates file C:WINDOWSTEMP sx8999.tmp.
* Deletes file C:WINDOWSTEMP sx8999.tmp.
* Creates file C:WINDOWSTEMP irst.exe.
* Creates file C:WINDOWSTEMPsecond.exe.
* Creates file C:WINDOWSTEMP sz0099.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp.
* Creates directory C:WINDOWS.
* Creates directory C:WINDOWSTEMP sz0099.tmp.
* Creates file C:WINDOWSTEMP sz0099.tmp sExec.dll.
* Creates file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmp s0889.tmp.
* Deletes file C:WINDOWSTEMP sz0099.tmpNSEXEC.DLL.
* Deletes directory C:WINDOWSTEMP sz0099.tmp.
[ Signature Scanning ]
* C:WINDOWSTEMP irst.exe (37901 bytes) : W32/Agent.BTKX.
=D
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et le dernier log :
Search Navipromo version 2.0.3 commencé le 28/06/2007 à 0:17:55.44
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\famly.FSC361210060712\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/28/07 at 00:17:58.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/28/07 at 00:21:08 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 28/06/2007 à 0:21:50.74 ***
Search Navipromo version 2.0.3 commencé le 28/06/2007 à 0:17:55.44
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\famly.FSC361210060712\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/28/07 at 00:17:58.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/28/07 at 00:21:08 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 28/06/2007 à 0:21:50.74 ***
OK
C'est parfait
Fais ceci SVP
télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
1°- Télécharger OTMoveIt (de Old_Timer) sur ton Bureau.
< http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )
3°- Redémarrer le PC
4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )
5°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller le chemin exact du fichier que tu veux supprimer :
C:\Documents and Settings\famly.FSC361210060712\Desktop\call.exe
C:\WINDOWS\system32\call.exe
-dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur Exit pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci
il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
Lis aussi le MP ==> voici
Télécharge VundoFix.exe (par Atribune) sur ton Bureau:
http://www.atribune.org/public-beta/VundoFix.exe
* Double-clique VundoFix.exe afin de le lancer > [Exécuter] > VundoFix v6.3.17
* Clique sur le bouton [Scan for Vundo]
* Lorsque le scan est complété, clique sur le bouton [Remove Vundo]
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ou dans C:\VundoFix BacKups dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton [Scan for Vundo]".
Je reste encore une demi-heure
Je suis fatigué
Al
C'est parfait
Fais ceci SVP
télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
1°- Télécharger OTMoveIt (de Old_Timer) sur ton Bureau.
< http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )
3°- Redémarrer le PC
4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )
5°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller le chemin exact du fichier que tu veux supprimer :
C:\Documents and Settings\famly.FSC361210060712\Desktop\call.exe
C:\WINDOWS\system32\call.exe
-dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur Exit pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci
il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
Lis aussi le MP ==> voici
Télécharge VundoFix.exe (par Atribune) sur ton Bureau:
http://www.atribune.org/public-beta/VundoFix.exe
* Double-clique VundoFix.exe afin de le lancer > [Exécuter] > VundoFix v6.3.17
* Clique sur le bouton [Scan for Vundo]
* Lorsque le scan est complété, clique sur le bouton [Remove Vundo]
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ou dans C:\VundoFix BacKups dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton [Scan for Vundo]".
Je reste encore une demi-heure
Je suis fatigué
Al
C:\Documents and Settings\famly.FSC361210060712\Desktop\call.exe moved successfully.
C:\WINDOWS\system32\call.exe moved successfully.
Created on 06/28/2007 00:41:40
C:\WINDOWS\system32\call.exe moved successfully.
Created on 06/28/2007 00:41:40
vundofix n'a rien trouv :S
VundoFix V6.5.1
Checking Java version...
Java version is 1.5.0.11
Scan started at 01:03:39 28/06/2007
Listing files found while scanning....
No infected files were found.
Beginning removal...
VundoFix V6.5.1
Checking Java version...
Java version is 1.5.0.11
Scan started at 01:03:39 28/06/2007
Listing files found while scanning....
No infected files were found.
Beginning removal...
OK
Comment va le PC ?
Supprime VundoFix et navilog et OT movet ==> corbeille
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.
Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.
Je pense que ce PC en en ordre de marche.
Al
Comment va le PC ?
Supprime VundoFix et navilog et OT movet ==> corbeille
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.
Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.
Je pense que ce PC en en ordre de marche.
Al
Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode 28/06/2007 a 1:30:27.51
Microsoft Windows XP [Version 5.1.2600]
*** Suppression C:
tentative de suppression de C:\autorun.inf
Impossible de supprimer C:\autorun.inf
tentative de suppression de C:\StubInstaller.exe
*** Suppression C:\WINDOWS\
tentative de suppression de C:\WINDOWS\windebug.log
*** Suppression C:\WINDOWS\system32
*** Suppression C:\Program Files
tentative de suppression de "C:\Program Files\Viewpoint\"
*** Deletion of the registry keys successful..
*** End of the report !
j'te remercie pour ton aide precieuse et pour ta patience [de ne pas m'avoir etriper/egorger] !
bonne nuit ! ;)
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode 28/06/2007 a 1:30:27.51
Microsoft Windows XP [Version 5.1.2600]
*** Suppression C:
tentative de suppression de C:\autorun.inf
Impossible de supprimer C:\autorun.inf
tentative de suppression de C:\StubInstaller.exe
*** Suppression C:\WINDOWS\
tentative de suppression de C:\WINDOWS\windebug.log
*** Suppression C:\WINDOWS\system32
*** Suppression C:\Program Files
tentative de suppression de "C:\Program Files\Viewpoint\"
*** Deletion of the registry keys successful..
*** End of the report !
j'te remercie pour ton aide precieuse et pour ta patience [de ne pas m'avoir etriper/egorger] !
bonne nuit ! ;)
Re,
Je ne suis pas réveillé !
Rappel :
Le rapport livré par "clean", nous incite à nous pencher sur ce fichier "autorun.inf"
C'est pourquoi, j'en parlais déjà au post # 18, avec rappel en MP.
N'oublie pas ceci : Flash_disinfector et kill_autorun_vbs.bat ?
Demandés au post # 18 § 3 et 4. Why ne les as-tu pas encore exécutés ?
( Parce que je craignais déjà une contamination par disques amovibles tels que clé USB ou disque dur externe branché )
Tu trouveras un explicatif sur la propagation de ces infections sur ces liens :
< http://forum.malekal.com/ftopic3350.php > Le fichier autorun.inf
< http://forum.malekal.com/ftopic3539.php > Infection sur disques amovibles
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, (pour cela il faut qu'ils soient branchés):
SURTOUT ne pas double-cliquer sur le disque amovible dans le poste de travail
* Ouvre le poste de travail
* Clic sur le menu « outils » en haut à droite puis « options des dossiers »
* Dans la nouvelle fenêtre, clic sur l'onglet « Affichage » en haut
* Coche dans la liste "Afficher les fichiers cachés"
* Décoche "masquer les fichiers protégés du système d’exploitation (recommandée)"
* Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte, et valide.
* Ouvre le poste de travail
* Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier « autorun.inf » et des fichiers : « Adober.exe » ou « RavMonE.exe » ou « MS32DLL.DLL.VBS » ou « autorun.vbs »
* Si présents, supprime-les en faisant un "clic droit" puis "supprimer".
* Répétez l'opération sur tous les disques se trouvant dans le poste de travail.
Bonne journée
Al.
Je ne suis pas réveillé !
Rappel :
Le rapport livré par "clean", nous incite à nous pencher sur ce fichier "autorun.inf"
C'est pourquoi, j'en parlais déjà au post # 18, avec rappel en MP.
N'oublie pas ceci : Flash_disinfector et kill_autorun_vbs.bat ?
Demandés au post # 18 § 3 et 4. Why ne les as-tu pas encore exécutés ?
( Parce que je craignais déjà une contamination par disques amovibles tels que clé USB ou disque dur externe branché )
Tu trouveras un explicatif sur la propagation de ces infections sur ces liens :
< http://forum.malekal.com/ftopic3350.php > Le fichier autorun.inf
< http://forum.malekal.com/ftopic3539.php > Infection sur disques amovibles
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, (pour cela il faut qu'ils soient branchés):
SURTOUT ne pas double-cliquer sur le disque amovible dans le poste de travail
* Ouvre le poste de travail
* Clic sur le menu « outils » en haut à droite puis « options des dossiers »
* Dans la nouvelle fenêtre, clic sur l'onglet « Affichage » en haut
* Coche dans la liste "Afficher les fichiers cachés"
* Décoche "masquer les fichiers protégés du système d’exploitation (recommandée)"
* Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte, et valide.
* Ouvre le poste de travail
* Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier « autorun.inf » et des fichiers : « Adober.exe » ou « RavMonE.exe » ou « MS32DLL.DLL.VBS » ou « autorun.vbs »
* Si présents, supprime-les en faisant un "clic droit" puis "supprimer".
* Répétez l'opération sur tous les disques se trouvant dans le poste de travail.
Bonne journée
Al.
Précédent
- 1
- 2
