Infecté par Willpolo Résolu/Fermé

Question

salut a tous 

je suis nouveau sur ce forum et je viens d'etre infecté par willpolo. je ne sais pas ce que sais mais dans ma fenetre de mon navigateur il es ecris " Piraté par Willpolo ---- ingenieur en hacking ---- fuck u ------

et je n'ai plus acces a ma base de registre c'est a dire que je suis devenu comme un invité avec des restriction partout alors voila mon scan de hijackthis 

Logfile of HijackThis v1.99.1
Scan saved at 11:46:17, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\WINDOWS\system32	emp1.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour scanner.exe.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par WillPolo ---- Ingénieur en hacking -------- fuck u ----------
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [WillPolo] C:\WINDOWS\WillPolo.vbs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mswinword] C:\Windows\KAMARA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\progra~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ok merci pour tous

newtech83 · Answer

salut jusque là pas encore de reponse 

merci de bien vouloir m'aider

moe · Answer

Salut newtech83,

Télécharges Autosrch, ici
Dézippes le sur ton bureau.
Connectes clé usb, dd externe etc... susceptibles d'avoir été infectés, puis dans le dossier Autosrch double clic sur le fichier autosearch.bat
Le bloc note va s'ouvrir, copie et colle tout son contenu dans ton prochain message.

Cette variante de ce ver à l'air assez récente, est-ce que ca t'embêterais de me faire parvenir ces trois fichiers ?:
C:\Windows\KAMARA.exe
C:\WINDOWS\WillPolo.vbs 
C:\WINDOWS\system32	emp1.exe 

à cette adresse:
m1pv4wwxm93wnv7@jetable.org
Pour pouvoir étudier et donc mieux trouver des solutions  pour contrer cette saleté.
Merci d'avance.

Si jamais tu ne trouve pas ces fichiers du premier coup, pense à rendre visible les fichiers cachés et système et recommencer leur recherche.

panneau de configuration > options des dossiers > onglet affichage 
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu" 
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

a++

moe · Answer

ps:
J'allais oublier...ainsi que ce fichier si tu peux:
C:\WINDOWS\svchost.exe
merci

a+

green day · Answer

Saluto ;-))

moe · Answer

Hello :-)

Justement tu tombes à pic !

Si ca t'interresse toujours, jettes un oeil ici:
https://www.cjoint.com/?hlrdAgpMrK

Avec maj et ajout de :
DivoPlayer
Download Plugin
Get-Torrent
TorrentSoftware
WinZix

a++

green day · Answer

Super ! ;-)

 je mettrai le lien à jour !

 Merci :-)

moe · Answer

De rien... :-)

newtech83 · Answer

Voila le rapport C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat Exécuté le 11/07/2007 à 15:48:49 ########################################################################### /!\ Détection de script en cours d'exécution: Le processus wscript.exe pid: 1596 Exécute actuellement C:\WillPolo.vbs Le processus wscript.exe pid: 1628 Exécute actuellement C:\WillPolo.vbs Le processus wscript.exe pid: 2920 Exécute actuellement C:\WillPolo.vbs Listing des fichier *.vbs *.exe du dossier C:\WINDOWS C:\WINDOWS\WillPolo.vbs C:\WINDOWS\apptune1020.exe C:\WINDOWS\explorer.exe C:\WINDOWS\hh.exe C:\WINDOWS\HPLiteSaver.exe C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS egedit.exe C:\WINDOWS\RtlUpd.exe C:\WINDOWS\ST5UNST.EXE C:\WINDOWS\svchost.exe C:\WINDOWS\TASKMAN.EXE C:\WINDOWS wunk_16.exe C:\WINDOWS wunk_32.exe C:\WINDOWS\UNNeroBackItUp.exe C:\WINDOWS\UNNeroMediaHome.exe C:\WINDOWS\UNNeroShowTime.exe C:\WINDOWS\UNNeroVision.exe C:\WINDOWS\UNRecode.exe C:\WINDOWS\winhelp.exe C:\WINDOWS\winhlp32.exe C:\WINDOWS\xcopy.exe Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32 :. Fichiers autorun.* : Néant C:\WINDOWS\System32\eventquery.vbs C:\WINDOWS\System32\OeApi.vbs C:\WINDOWS\System32\pagefileconfig.vbs C:\WINDOWS\System32\prncnfg.vbs C:\WINDOWS\System32\prndrvr.vbs C:\WINDOWS\System32\prnjobs.vbs C:\WINDOWS\System32\prnmngr.vbs C:\WINDOWS\System32\prnport.vbs C:\WINDOWS\System32\prnqctl.vbs C:\WINDOWS\System32\pubprn.vbs ########################################################################### C: - Lecteur fixe Recherche des fichiers *.vbs et *.exe... -> C:\WillPolo.vbs /!\ Script actif, C:\WillPolo.vbs est en cours d'exécution. /!\ Script actif, C:\WillPolo.vbs est en cours d'exécution. /!\ Script actif, C:\WillPolo.vbs est en cours d'exécution. -> C:\copy.exe -> C:\host.exe /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. Recherche des fichiers autorun.*... C:\autorun.inf Contenu de C:\autorun.inf : [autorun] shellexecute=wscript.exe WillPolo.vbs action="Pas d'action" ########################################################################### D: - Lecteur r‚seau ou … distance Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant -> D:\GateEdit.exe -> D:\GatePro.exe /!\ L'application GatePro.exe est actuellement en cours d'exécution. -> D:\GateRotations.exe -> D:\MMREGOCX.EXE -> D:\VISDATA.EXE Recherche des fichiers autorun.*... :. Fichier autorun.* : Néant ########################################################################### F: - Lecteur r‚seau ou … distance Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant :. Fichiers *.exe: Néant Recherche des fichiers autorun.*... :. Fichier autorun.* : Néant ########################################################################### G: - Lecteur amovible Recherche des fichiers *.vbs et *.exe... -> G:\WillPolo.vbs -> G:\LaunchU3.exe -> G:\copy.exe -> G:\host.exe /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. Recherche des fichiers autorun.*... G:\autorun.inf Contenu de G:\autorun.inf : [autorun] Shellexecute=copy.exe ########################################################################### T: - Lecteur amovible Recherche des fichiers *.vbs et *.exe... -> T:\WillPolo.vbs -> T:\copy.exe -> T:\host.exe /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. /!\ L'application host.exe est actuellement en cours d'exécution. Recherche des fichiers autorun.*... T:\autorun.inf Contenu de T:\autorun.inf : [autorun] Shellexecute=copy.exe ########################################################################### U: - Lecteur de CD-ROM Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant -> U:\LaunchU3.exe Recherche des fichiers autorun.*... U:\autorun.inf Contenu de U:\autorun.inf : [AutoRun] open=LaunchU3.exe -a icon=LaunchU3.exe,0 [Definitions] Launchpad=LaunchPad.exe Vtype=1 [CopyFiles] FileNumber=1 File1=LaunchPad.zip [Update] URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer [Comment] brand=cruzer ########################################################################### Registre : HKEY_CURRENT_USER\software\microsoft\windows\currentversion un CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe _AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe WillPolo REG_SZ C:\WINDOWS\WillPolo.vbs KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k Mswinword REG_SZ C:\Windows\KAMARA.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL Installed REG_SZ 1 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI Installed REG_SZ 1 NoChange REG_SZ 1 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS Installed REG_SZ 1 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon Shell REG_SZ Explorer.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon Userinit REG_SZ C:\WINDOWS\system32\userinit.exe, HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer NoDriveTypeAutoRun REG_DWORD 145 (0x91) DisallowRun REG_DWORD 1 (0x1) NoFind REG_DWORD 1 (0x1) NoRun REG_DWORD 1 (0x1) NoFolderOptions REG_DWORD 1 (0x1) HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun 1 REG_SZ Regedit.exe 2 REG_SZ MSConfig.exe 3 REG_SZ taskmgr.exe 4 REG_SZ MMC.exe 5 REG_SZ gpedit.msc 6 REG_SZ Cmd.exe Error: Key: software\microsoft\windows\currentversion\policies\explorer does not exist! HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot AlternateShell REG_SZ cmd.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path Debugger REG_SZ ntsd -d HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun\command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe ################################# END ###################################

moe · Answer

Je te poste une manip d'ici quelques minutes, mais en attendant, ne redemarre pas ton pc et laisse branché tous les périphériques externes.

A plus tard

newtech83 · Answer

ok j'attend toujours

moe · Answer

C'est parti...

Imprime, ou enregistre la manip dans un fichier txt (bloc notes, par exemple) pour etre sur ne rien oublier et de tout faire dans l'ordre.

Avant de commencer quoi que ce soit, il est important que tu fasses ceci:

Télécharges Flash_Disinfector ici:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Et enregistre le sur ton bureau.

Retélécharge hijackthis :
http://www.spywareinfo.com/downloads/tools/HijackThis.exe
Car actuellement il est dans un dossier temporaire et enregistre-le sur ton bureau
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour scanner.exe.zip\HijackThis.exe
Ce dossier : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp est nettoyé de son contenu par l'utilitaire que tu emploieras plus tard et donc tu ne le retrouveras pas au moment ou tu en auras besoin.

Puis déconnecte toi d'internet si tu peux et ferme tout les programmes en cours.


1/

Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Assure toi que: clé USB et périphériques USB externes susceptibles d'avoir été infectés, soient bien connectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuies sur OK, pour faire réapparaitre le bureau.


2/

 Lance hijackthis et clic sur [Do a system scan only]

coche  la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par WillPolo ---- Ingénieur en hacking -------- fuck u ---------- 
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [WillPolo] C:\WINDOWS\WillPolo.vbs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mswinword] C:\Windows\KAMARA.exe
Valide  en cliquant sur le bouton [Fix checked]

La plupart de ces lignes auront surement disparues après le passage de Flash_Disinfector, mais par mesure de précaution vérifie avec hijackthis et supprime les si elles existent.



/!\ A partir de maintenant, ne double clique surtout pas sur les icônes pour ouvrir un DD ou périphérique externe, et n'utilise pas le clic droit >> ouvrir
Sous peine de relancer l'infection et de devoir tout recommencer.


3/

Rend visible les fichiers cachés et systeme 
panneau de configuration > options des dossiers > onglet affichage 
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu" 
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider


4/

Ouvre le Poste de travail.
Fais un clic droit >> Explorer sur l'icône du disque dur principal ou est installé Windows (C:):

Supprime si présent:

C:\WillPolo.vbs
C:\WINDOWS\WillPolo.vbs
C:\autorun.inf 

Ceux-là auront normalement déjà été supprimé par Flash_Disinfector, mais vérifie et suppriment les s'ils existent:

C:\copy.exe
C:\host.exe 
C:\WINDOWS\xcopy.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32	emp1.exe
C:\WINDOWS\system32	emp2.exe


5/

Reviens dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> T:\

Supprime si présent:

T:\WillPolo.vbs
T:\host.exe
T:\copy.exe
T:\autorun.inf


6/

Redemarre le pc.

7/

Reconnectes toi au net si tu t'étais déco, puis va sur ce site:
www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
C:\Windows\KAMARA.exe
Clic sur Send file

Le fichier sera analysé par plusieurs AV simultanément, poste dans ton prochain message le rapport de fin d'analyse.


8/

Reposte un rapport hijackthis et autosearch.bat


Et enfin 9... 

Bon courage et à plus tard :-)

PS:

Penses si tu peux à m'envoyer une copie zippé de WillPolo.vbs et C:\Windows\KAMARA.exe
Possible que le second infecte les fichiers word (*.doc) et j'aimerais bien pouvoir le vérifier en faisant quelques tests sur une machine virtuelle...

newtech83 · Answer

salut 

la je crois que le message a disparu dans ma fenetre . le seul probleme sait qu'il ya des restriction sur ma session quand je suis dans executer rien ne passe .
ps : je ne sais pas si j'ai supprimer le fichier c:\windows\kamara mais je ne le vois plus nulle part

voila les rapport

Logfile of HijackThis v1.97.7
Scan saved at 18:36:33, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0000184FC860FDE2\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12



et l'autre

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\R‚pertoire temporaire 1 pour Autosrch.zip\Autosrch\autosearch.bat

Exécuté le 11/07/2007 à 18:37:26


###########################################################################

Listing des fichier *.vbs *.exe du dossier C:\WINDOWS 

:. Fichiers *.vbs : Néant 

C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWSegedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS	wunk_16.exe
C:\WINDOWS	wunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe

Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32 

:. Fichiers autorun.* : Néant 

C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs

###########################################################################

C: - Lecteur fixe



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant 

:. Fichiers *.exe: Néant


Recherche des fichiers autorun.*...

:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.


###########################################################################

D: - Lecteur de CD-ROM



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant 

-> D:\LaunchU3.exe



Recherche des fichiers autorun.*...

D:\autorun.inf

Contenu de D:\autorun.inf :

[AutoRun] 
open=LaunchU3.exe
icon=LaunchU3.exe,0 

[Definitions]
Launchpad=LaunchPad.exe

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip



###########################################################################

G: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant 

-> G:\LaunchU3.exe



Recherche des fichiers autorun.*...

:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.


###########################################################################

M: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant 

-> M:\INVITATION.exe

-> M:\Keygen Swish V2.EXE



Recherche des fichiers autorun.*...

:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.


###########################################################################

T: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant 

:. Fichiers *.exe: Néant


Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

U: - Lecteur de CD-ROM



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant 

-> U:\LaunchU3.exe



Recherche des fichiers autorun.*...

U:\autorun.inf

Contenu de U:\autorun.inf :

[AutoRun] 
open=LaunchU3.exe -a
icon=LaunchU3.exe,0 

[Definitions]
Launchpad=LaunchPad.exe
Vtype=1

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip

[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer


[Comment]
brand=cruzer



###########################################################################

Registre :


#################################  END  ###################################

moe · Answer

C'est beaucoup mieux cette fois !!

Apparement tout à l'heure, tu n'avais pas branché M:\ et il y a deux fichiers à l'intérieur dont le nom est assez suspect:

M:\INVITATION.exe

M:\Keygen Swish V2.EXE 

Tu connais ?

Rends toi sur http:\www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
M:\INVITATION.exe
Clic sur Send file
Fais pareil avec:
M:\Keygen Swish V2.EXE
Et poste les deux rapports.

Pour les restrictions, t'inquiètes on y arrive, mais vu que tu ne peux pas utiliser regedit.exe pour aller dans le registre, je pensais utiliser un utilitaire de remplacement qui est d'ailleur dans le dossier autosrch.
Mais je vois dans le dernier rapport autosrch.bat qu'il n'y a aucun topo du registre comme prévu, ton AV à bloqué un de ces  fichiers ? 
C'est important de les autoriser tous, sinon il va manquer pas mal d'infos et de moyens d'action en conséquence.

Reposte donc un rapport autosrch.bat, que je puisse voir les restrictions qu'à déjà levé Flash_disinfector et celles qui restent à virer.

a++

newtech83 · Answer

bon je ne sais pas comment mon AV aurait bloqué le fichier beh voici le rapport des 2 fichiers suspect AhnLab-V3 2007.7.11.1 20070711 no virus found AntiVir 7.4.0.39 20070711 no virus found Authentium 4.93.8 20070711 no virus found Avast 4.7.997.0 20070711 no virus found AVG 7.5.0.476 20070711 no virus found BitDefender 7.2 20070711 no virus found CAT-QuickHeal 9.00 20070711 (Suspicious) - DNAScan ClamAV devel-20070416 20070711 no virus found DrWeb 4.33 20070711 no virus found eSafe 7.0.15.0 20070710 Suspicious Trojan/Worm eTrust-Vet 30.8.3779 20070711 no virus found Ewido 4.0 20070711 no virus found FileAdvisor 1 20070711 no virus found Fortinet 2.91.0.0 20070711 no virus found F-Prot 4.3.2.48 20070710 no virus found Ikarus T3.1.1.8 20070711 no virus found Kaspersky 4.0.2.24 20070711 no virus found McAfee 5072 20070711 no virus found Microsoft 1.2704 20070711 no virus found NOD32v2 2394 20070711 no virus found Norman 5.80.02 20070711 no virus found Panda 9.0.0.4 20070711 Suspicious file Sophos 4.19.0 20070706 no virus found Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious Symantec 10 20070711 no virus found TheHacker 6.1.6.144 20070709 no virus found VBA32 3.12.0.2 20070710 no virus found VirusBuster 4.3.23:9 20070711 no virus found Webwasher-Gateway 6.0.1 20070711 Win32.Malware.gen#Petite!94 (suspicious) Aditional information File size: 5578 bytes MD5: 438778b92532ad7efaff3967ded070d1 SHA1: b9901d8a162090f74d01d85c947bb31f637eeed7 packers: PETITE packers: Petite Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. l'autre fichier Antivirus Versión Last Update Result AhnLab-V3 2007.7.11.1 20070711 Win-Trojan/Disabler.53248 AntiVir 7.4.0.39 20070711 HEUR/Malware Authentium 4.93.8 20070711 no virus found Avast 4.7.997.0 20070711 no virus found AVG 7.5.0.476 20070711 Generic.YZW BitDefender 7.2 20070711 Trojan.Disabler.K CAT-QuickHeal 9.00 20070711 no virus found ClamAV devel-20070416 20070711 no virus found DrWeb 4.33 20070711 BackDoor.Generic.1497 eSafe 7.0.15.0 20070710 no virus found eTrust-Vet 30.8.3779 20070711 Win32/Disackt.A Ewido 4.0 20070711 Trojan.Disabler.k FileAdvisor 1 20070711 no virus found Fortinet 2.91.0.0 20070711 no virus found F-Prot 4.3.2.48 20070710 no virus found Ikarus T3.1.1.8 20070711 no virus found Kaspersky 4.0.2.24 20070711 Virus.Win32.VB.fm McAfee 5072 20070711 Disackt Microsoft 1.2704 20070711 Trojan:Win32/Disabler NOD32v2 2394 20070711 Win32/VB.AMN Norman 5.80.02 20070711 no virus found Panda 9.0.0.4 20070711 Trj/WindowsDisabler.C Sophos 4.19.0 20070706 no virus found Sunbelt 2.2.907.0 20070711 no virus found Symantec 10 20070711 Trojan.Killfiles TheHacker 6.1.6.144 20070709 Trojan/generic VBA32 3.12.0.2 20070710 Trojan.Win32.VB.AMN VirusBuster 4.3.23:9 20070711 Trojan.Disabler.H Webwasher-Gateway 6.0.1 20070711 Heuristic.Malware Aditional information File size: 73728 bytes MD5: cded169fc6fc617431efb8f5c13e512f SHA1: c622f0d0e20174abd9721d7b199da565249479dd pour hijackthis Logfile of HijackThis v1.97.7 Scan saved at 19:33:28, on 11/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\progra~1\mcafee\mcafee antispyware\massrv.exe c:\program files\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\WINDOWS\system32\Ati2evxx.exe c:\PROGRA~1\mcafee.com\vso\OasClnt.exe c:\program files\mcafee.com\vso\mcvsshld.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE c:\program files\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe C:\progra~1\mcafee\MCAFEE~1\masalert.exe C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Program Files\Messenger\msmsgs.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Administrateur\Application Data\U3\0C803360F172D894\LaunchPad.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://www8.hp.com/fr/fr/home.html R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM) O9 - Extra button: Recherche (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12 et enfin pour autosrch C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat Exécuté le 11/07/2007 à 19:34:16 ########################################################################### Listing des fichier *.vbs *.exe du dossier C:\WINDOWS :. Fichiers *.vbs : Néant C:\WINDOWS\apptune1020.exe C:\WINDOWS\explorer.exe C:\WINDOWS\hh.exe C:\WINDOWS\HPLiteSaver.exe C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS egedit.exe C:\WINDOWS\RtlUpd.exe C:\WINDOWS\ST5UNST.EXE C:\WINDOWS\TASKMAN.EXE C:\WINDOWS wunk_16.exe C:\WINDOWS wunk_32.exe C:\WINDOWS\UNNeroBackItUp.exe C:\WINDOWS\UNNeroMediaHome.exe C:\WINDOWS\UNNeroShowTime.exe C:\WINDOWS\UNNeroVision.exe C:\WINDOWS\UNRecode.exe C:\WINDOWS\winhelp.exe C:\WINDOWS\winhlp32.exe Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32 :. Fichiers autorun.* : Néant C:\WINDOWS\System32\eventquery.vbs C:\WINDOWS\System32\OeApi.vbs C:\WINDOWS\System32\pagefileconfig.vbs C:\WINDOWS\System32\prncnfg.vbs C:\WINDOWS\System32\prndrvr.vbs C:\WINDOWS\System32\prnjobs.vbs C:\WINDOWS\System32\prnmngr.vbs C:\WINDOWS\System32\prnport.vbs C:\WINDOWS\System32\prnqctl.vbs C:\WINDOWS\System32\pubprn.vbs ########################################################################### C: - Lecteur fixe Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant :. Fichiers *.exe: Néant Recherche des fichiers autorun.*... :. Fichier autorun.* : Néant ########################################################################### D: - Lecteur de CD-ROM Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant -> D:\LaunchU3.exe Recherche des fichiers autorun.*... D:\autorun.inf Contenu de D:\autorun.inf : [AutoRun] open=LaunchU3.exe icon=LaunchU3.exe,0 [Definitions] Launchpad=LaunchPad.exe [CopyFiles] FileNumber=1 File1=LaunchPad.zip ########################################################################### F: - Lecteur amovible Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant -> F:\LaunchU3.exe Recherche des fichiers autorun.*... :. Fichier autorun.* : Néant ########################################################################### M: - Lecteur amovible Recherche des fichiers *.vbs et *.exe... :. Fichiers vbs: Néant -> M:\INVITATION.exe -> M:\Keygen Swish V2.EXE Recherche des fichiers autorun.*... :. Fichier autorun.* : Néant ########################################################################### Registre : HKEY_CURRENT_USER\software\microsoft\windows\currentversion un CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe _AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL Installed REG_SZ 1 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI Installed REG_SZ 1 NoChange REG_SZ 1 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS Installed REG_SZ 1 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon Shell REG_SZ Explorer.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon Userinit REG_SZ C:\WINDOWS\system32\userinit.exe, HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer NoDriveTypeAutoRun REG_DWORD 36 (0x24) DisallowRun REG_DWORD 1 (0x1) NoDriveAutoRun REG_BINARY ffffffff HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun 1 REG_SZ Regedit.exe 2 REG_SZ MSConfig.exe 3 REG_SZ taskmgr.exe 4 REG_SZ MMC.exe 5 REG_SZ gpedit.msc 6 REG_SZ Cmd.exe HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer un HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot AlternateShell REG_SZ cmd.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path Debugger REG_SZ ntsd -d HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe ################################# END ################################### merci beaucoup j'attend

moe · Answer

Désolé d'insister mais, tu pourrais m'envoyer une copie zippé de ces deux:

M:\INVITATION.exe
M:\Keygen Swish V2.EXE 

Dis moi franchement si tu n'as pas envie , je le comprendrais très bien et j'insisterais plus :-).

Ils sont vérolés tout les deux et très peu d'AV sont en mesure de les  détecter si on en crois le faible taux de détection sur virustotal.

Bon, sinon laisse moi quelques minutes et je te poste la suite des manips.

A plus tard !

newtech83 · Answer

ok j'attend car je part dans quelques minutes

moe · Answer

Merci Newtech83, c'est reçu :-)

Télécharge newtech.bat et enregistre le sur ton bureau.
Important, place ce fichier dans le dossier autosrch, sinon il ne fonctionnera pas.
Il permettra de lever certaines restriction comme l'accès à:
Regedit.exe
MSConfig.exe
taskmgr.exe
MMC.exe
gpedit.msc
Cmd.exe 

Pour l'instant, n'utilise pas ce fichier.

D'abord, vas dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> M:\

Et supprime:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE

(n'oublies pas de vider la corbeille ensuite ;-) )

Sur le bureau et dans le dossier autosrch, lance le fichier que tu viens de télécharger, newtech.bat.
Une fenêtre va tres rapidement s'ouvrir et se refermer, c'est normal.

Redémarre le pc pour que les modifications soit prises en compte.

Après avoir redémarré, fais moi le point sur les restrictions:
Du gestionnaire des tâches
De l'éditeur du registre
De l'invite de commande (demarrer > executer > tape cmd)
De l'utilitaire de configuration système (demarrer > executer > tape msconfig)
De l'éditeur de stratégies (demarrer > executer > tape gpedit.msc) <- Uniquement si tu es sous XP Pro
De la console de Management (demarrer > executer > tape mmc)
En me disant si tu y as de nouveau accès ou pas...Et si tu as d'autres restrictions et lesquelles.

A+ tard

newtech83 · Answer

salut 

Tous marche a merveille tous les restrictions ont disparu  . bon jusuqe la tous je crois bien . 
merci bien à demain

newtech83 · Answer

j'oubliai je voulais que tu me donne des conseils pour un tres bon antivirus selon toi car tous sont bon mais chacun a une preference car le poste que j'utilise est connecter en permanence et je crois que Macaffe ne fais pas trop le poids en plus il es en reseau avec d'autres poste 

merci et a demain

moe · Answer

Excellent !

Dernière étape, fais scanner ton pc en ligne ici:
https://www.kaspersky.fr/downloads
Clic sur le bouton 'Kaspersky Online Scanner' et laisse toi guider.
Choisis le poste de travail comme cible d'analyse et poste le rapport.

J'ai jamais utilisé Mcafee, mais saches que l'antivirus parfait n'existe pas lol.
Tu as par exemple Kaspersky et Bitdefender qui se sortent honorablement de leur tâche, tout dépend si tu souhaites un tout-en-un (firewall+av), si tes moyens te permettent d'investir dans un payant ou si tu préfères un gratuit.
Sinon en gratuit tu as Avast et Antivir, mais bon...

Bonne fin de soirée.

newtech83 · Answer

voila le scan 

Thursday, July 12, 2007 2:33:48 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 12/07/2007
Kaspersky Anti-Virus database records: 339163
 
 
Scan Settings 
Scan using the following antivirus database standard 
Scan Archives true 
Scan Mail Bases true 
 
Scan Target My Computer 
C:\
E:\
I:\
K:\
O:\
S:\
Y:\  
 
Scan Statistics 
Total number of scanned objects 37474 
Number of viruses found 7 
Number of infected objects 32 / 0 
Number of suspicious objects 0 
Duration of the scan process 00:27:02 

Infected Object Name Virus Name Last Action 
C:\Documents and Settings\Administrateur\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Ahead\Nero Home\bl.db  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Ahead\Nero Home\is2.db  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{6F8355F0-D4C3-466F-811A-7F0A8B0ADD6D}\Microsoft\Outlook Express\Folders.dbx  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{6F8355F0-D4C3-466F-811A-7F0A8B0ADD6D}\Microsoft\Outlook Express\Offline.dbx  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee\AntiSpyware\Data\masdata.dat  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee\AntiSpyware\Data\masevents.dat  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\Agent\Logs\TaskScheduler\McTskshd001.log  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\VSO\OASLogs\OAS.log  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  Object is locked  skipped  
 
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-07-12.07-24-54.log  Object is locked  skipped  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Object is locked  skipped  
 
C:\System Volume Information	racking.log  Object is locked  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0026439.exe  Infected: Worm.Win32.Perlovga.b  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0026440.exe  Infected: Backdoor.Win32.Small.lo  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0026444.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0027439.exe  Infected: Worm.Win32.Perlovga.b  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0027440.exe  Infected: Backdoor.Win32.Small.lo  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0027444.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP183\A0027445.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP184\A0027468.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP184\A0027469.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP184\A0027477.exe  Infected: Worm.Win32.Perlovga.b  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP184\A0027478.exe  Infected: Backdoor.Win32.Small.lo  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028353.exe  Infected: Virus.Win32.VB.fm  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028354.exe  Infected: Virus.Win32.VB.fm  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028355.exe  Infected: Virus.Win32.VB.fm  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028356.exe  Infected: Virus.Win32.VB.fm  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028357.exe  Infected: Virus.Win32.VB.fm  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028358.exe  Infected: Virus.Win32.VB.fm  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028369.exe  Infected: Worm.Win32.Perlovga.b  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028370.exe  Infected: Backdoor.Win32.Small.lo  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028375.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP186\A0028376.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028390.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028391.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028399.exe  Infected: Worm.Win32.Perlovga.b  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028400.exe  Infected: Backdoor.Win32.Small.lo  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028401.exe  Infected: Trojan-Dropper.Win32.Small.apl  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028402.exe  Infected: Worm.Win32.Perlovga.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028404.exe  Infected: Worm.Win32.Perlovga.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028405.exe  Infected: Trojan-Dropper.Win32.Small.apl  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028406.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP187\A0028408.vbs  Infected: Worm.VBS.Solow.a  skipped  
 
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP188\change.log  Object is locked  skipped  
 
C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  skipped  
 
C:\WINDOWS\SchedLgU.Txt  Object is locked  skipped  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{0ADAB149-5289-4851-8BA2-D2475D4495A4}.bin  Object is locked  skipped  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Object is locked  skipped  
 
C:\WINDOWS\Sti_Trace.log  Object is locked  skipped  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Object is locked  skipped  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  Object is locked  skipped  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system.log  Object is locked  skipped  
 
C:\WINDOWS\system32\drivers\sptd.sys  Object is locked  skipped  
 
C:\WINDOWS\system32\h323log.txt  Object is locked  skipped  
 
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log  Object is locked  skipped  
 
C:\WINDOWS\system32\OeApi.vbs  Infected: Virus.VBS.Agui.a  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Object is locked  skipped  
 
C:\WINDOWS\Temp\sqlite_JFfZbuTXzxPs7KH  Object is locked  skipped  
 
C:\WINDOWS\Temp\sqlite_L0kzxprWxbhGudp  Object is locked  skipped  
 
C:\WINDOWS\Temp\sqlite_Oz5Ckq79wr1fiRV  Object is locked  skipped  
 
C:\WINDOWS\wiadebug.log  Object is locked  skipped  
 
C:\WINDOWS\wiaservc.log  Object is locked  skipped  
 
C:\WINDOWS\WindowsUpdate.log  Object is locked  skipped  
 
Scan process completed. 
 
A plus tard

moe · Answer

Salut newtech83

Rien de bien méchant dans le rapport d'analyse, se sont juste les points de restauration système qui se sont crées pendant l'infection, qui sont touchés.

Fais un clic droit sur poste de travail > propriétés > onglet restauration système 
puis coche  "désactiver la restauration système sur tous les lecteurs". 

Redémarre le pc, et refais ensuite un scan de contrôle chez Kaspersky pour t'assurer que tout est ok. 

Si c'est le cas,  réactive là. 

Pour la réactiver:
Clic droit sur poste de travail > propriétés > onglet restauration système
Décoches "désactiver la restauration système".

a++

newtech83 · Answer

salut voila le rapport demander et je voudrai que tu me conseil un program qui va annalyser mes disque amovible avant de les use 

Thursday, July 12, 2007 6:30:02 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 12/07/2007
Kaspersky Anti-Virus database records: 339406
 
 
Scan Settings 
Scan using the following antivirus database standard 
Scan Archives true 
Scan Mail Bases true 
 
Scan Target My Computer 
C:\
D:\
E:\
I:\
K:\
O:\
S:\
Y:\  
 
Scan Statistics 
Total number of scanned objects 36029 
Number of viruses found 1 
Number of infected objects 1 / 0 
Number of suspicious objects 0 
Duration of the scan process 00:29:44 

Infected Object Name Virus Name Last Action 
C:\Documents and Settings\Administrateur\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Ahead\Nero Home\bl.db  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Ahead\Nero Home\is2.db  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{6F8355F0-D4C3-466F-811A-7F0A8B0ADD6D}\Microsoft\Outlook Express\Folders.dbx  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Identities\{6F8355F0-D4C3-466F-811A-7F0A8B0ADD6D}\Microsoft\Outlook Express\Offline.dbx  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012007071120070712\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012007071220070713\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\Administrateur
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee\AntiSpyware\Data\masdata.dat  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee\AntiSpyware\Data\masevents.dat  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\Agent\Logs\TaskScheduler\McTskshd001.log  Object is locked  skipped  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\VSO\OASLogs\OAS.log  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Cookies\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  Object is locked  skipped  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  Object is locked  skipped  
 
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-07-12.17-52-31.log  Object is locked  skipped  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Object is locked  skipped  
 
C:\System Volume Information	racking.log  Object is locked  skipped  
 
C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  skipped  
 
C:\WINDOWS\SchedLgU.Txt  Object is locked  skipped  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Object is locked  skipped  
 
C:\WINDOWS\Sti_Trace.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system.log  Object is locked  skipped  
 
C:\WINDOWS\system32\drivers\sptd.sys  Object is locked  skipped  
 
C:\WINDOWS\system32\h323log.txt  Object is locked  skipped  
 
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log  Object is locked  skipped  
 
C:\WINDOWS\system32\OeApi.vbs  Infected: Virus.VBS.Agui.a  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Object is locked  skipped  
 
C:\WINDOWS\Temp\sqlite_5gemZdsrbG6etOn  Object is locked  skipped  
 
C:\WINDOWS\Temp\sqlite_gF3e6lLkn0FD1QR  Object is locked  skipped  
 
C:\WINDOWS\Temp\sqlite_i6fBj2ShQe8AsUy  Object is locked  skipped  
 
C:\WINDOWS\wiadebug.log  Object is locked  skipped  
 
C:\WINDOWS\wiaservc.log  Object is locked  skipped  
 
C:\WINDOWS\WindowsUpdate.log  Object is locked  skipped  
 
Scan process completed. 


merci

moe · Answer

Il reste celui-ci à supprimer:
C:\WINDOWS\system32\OeApi.vbs

Pour tes disques amovibles, c'est exactement la même chose que pour les disques fixes, c'est ton AV qui doit les scanner.
L'outil que tu as utilisé, Flash_disinfector  ne couvre que certaines infections sensées se propager par clé ou médias amovible et donc il vaut mieux d'abord qu'un AV parfaitement à jours scanne ce que tu connectes à ton pc, avant de penser à  passer des outils qui ne font que supprimer certaines infections bien particulières.


a++

newtech83 · Answer

ok merci beaucoup 
Mon probleme est resolu

freelog · Answer

euh t'as fait quoi entre le 12 juillet 07 et 24 mars 09 ?????

green day · Answer

Mieux vaut tard que jamais ! :-)

newtech83 · Answer

:):):) en fait jai oublié de precisé que le probleme etait resolu . Je suis en ce moment en 2eme année Ingenierie informatique

freelog · Answer

oui mais 2 ans aprés 
ça surprend
mais comme dit green day
mieux vaut tard que jamais
remarque j'ai eu peur j'ai cru que willpolo était de retour

newtech83 · Answer

ha ok non il n'est pas revenu 

Merci a tous

freelog · Answer

allez bonne continuation à tous

Infecté par Willpolo

31 réponses

Discussions similaires

Newsletters