Sujet Précédent Sujet Suivant

Infecté par cheval de troie Win32:Small-IKZ

Résolu/Fermé
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010 - 15 janv. 2008 à 23:38
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010 - 22 janv. 2008 à 12:43
Bonjour,
Mon ordi est infecté par un cheval de troie Win32:Small-IKZ et j'ai avast comme antivirus. Je ne peux ni le supprimer ni le mettre en quarantaine. J'ai lancé un scan de tous les disques locaux en mode minutieux et cela m'a détecté un virus de nom Win32:Adan-156[adw].
Comment puis-je faire pour me débarrasser de cela? Merci d'avance pour les réponses:)
elsa

77 réponses

Précédent
Réponse 21 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 02:48
voici le rapport antivir:



AntiVir PersonalEdition Classic
Report file date: jeudi 17 janvier 2008 01:39

Scanning for 1048573 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: elsa
Computer name: BELL

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 00:33:24
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 00:33:24
ANTIVIR3.VDF : 7.0.2.8 108032 Bytes 16/01/2008 00:33:24
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 17/01/2008 00:33:25
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 17/01/2008 00:33:25
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 17 janvier 2008 01:39

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avast.setup' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'CTSVCCDA.EXE' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'CTDetect.exe' - '1' Module(s) have been scanned
Scan process 'QuickAccess.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'mrofinu1148.exe' - '1' Module(s) have been scanned
Module is infected -> 'C:\WINDOWS\mrofinu1148.exe'
Scan process 'services.exe' - '1' Module(s) have been scanned
Module is infected -> 'C:\DOCUME~1\elsa\LOCALS~1\Temp\services.exe'
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'ashDisp.exe' - '1' Module(s) have been scanned
Scan process 'dlccmon.exe' - '1' Module(s) have been scanned
Scan process 'realplay.exe' - '1' Module(s) have been scanned
Scan process 'issch.exe' - '1' Module(s) have been scanned
Scan process 'tfswctrl.exe' - '1' Module(s) have been scanned
Scan process 'DMXLauncher.exe' - '1' Module(s) have been scanned
Scan process 'DVDLauncher.exe' - '1' Module(s) have been scanned
Scan process 'stsystra.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ashServ.exe' - '1' Module(s) have been scanned
Scan process 'aswUpdSv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
Process 'mrofinu1148.exe' has been terminated
Process 'services.exe' has been terminated
C:\WINDOWS\mrofinu1148.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47fda457.qua'!

40 processes with 38 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( '38' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\upload_moi_BELL.tar.gz
[0] Archive type: GZ
--> upload_moi.tar
[1] Archive type: TAR (tape archiver)
--> WINDOWS/17PHolmes1148.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
--> WINDOWS/mrofinu1148.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
--> WINDOWS/mrofinu1148.exe.tmp
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47faa460.qua'!
C:\Documents and Settings\elsa\axamji.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa56e.qua'!
C:\Documents and Settings\elsa\blukhq.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4803a565.qua'!
C:\Documents and Settings\elsa\cdsnzu.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\Documents and Settings\elsa\cigmcu.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f5a56f.qua'!
C:\Documents and Settings\elsa\cuzocj.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\Documents and Settings\elsa\cycvoa.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f1a589.qua'!
C:\Documents and Settings\elsa\eucyuc.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '468d7e32.qua'!
C:\Documents and Settings\elsa\eykmuv.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\Documents and Settings\elsa\fioqlm.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47fda585.qua'!
C:\Documents and Settings\elsa\fkaztk.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa58a.qua'!
C:\Documents and Settings\elsa\fojldw.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f8a591.qua'!
C:\Documents and Settings\elsa\fuanzh.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa59b.qua'!
C:\Documents and Settings\elsa\gmvfqe.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4804a595.qua'!
C:\Documents and Settings\elsa\grmxmj.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47fba59d.qua'!
C:\Documents and Settings\elsa\gsgyud.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f5a5a2.qua'!
C:\Documents and Settings\elsa\guwaui.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4805a5a6.qua'!
C:\Documents and Settings\elsa\inbefk.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f0a5a3.qua'!
C:\Documents and Settings\elsa\itsscj.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4801a5ab.qua'!
C:\Documents and Settings\elsa\kcfapm.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f4a59d.qua'!
C:\Documents and Settings\elsa\maahil.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa59f.qua'!
C:\Documents and Settings\elsa\ocurgh.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4803a5a3.qua'!
C:\Documents and Settings\elsa\pchuwv.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f6a5a5.qua'!
C:\Documents and Settings\elsa\qwknjh.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f9a5bb.qua'!
C:\Documents and Settings\elsa\sgnlsm.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47fca5ad.qua'!
C:\Documents and Settings\elsa\spkshq.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f9a5b9.qua'!
C:\Documents and Settings\elsa\srqokl.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47ffa5be.qua'!
C:\Documents and Settings\elsa\swnglq.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47fca5c5.qua'!
C:\Documents and Settings\elsa\taberh.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f0a5b1.qua'!
C:\Documents and Settings\elsa\tiyely.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4807a5bb.qua'!
C:\Documents and Settings\elsa\tmkjcu.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f9a5c1.qua'!
C:\Documents and Settings\elsa\umhace.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f6a5c4.qua'!
C:\Documents and Settings\elsa\uohqky.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f6a5c9.qua'!
C:\Documents and Settings\elsa\utvxaw.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4804a5d0.qua'!
C:\Documents and Settings\elsa\uvkdvx.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47f9a5d4.qua'!
C:\Documents and Settings\elsa\uzadcu.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa5da.qua'!
C:\Documents and Settings\elsa\vqynii.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4807a5d3.qua'!
C:\Documents and Settings\elsa\whswzr.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4801a5cd.qua'!
C:\Documents and Settings\elsa\wiaqmk.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa5d0.qua'!
C:\Documents and Settings\elsa\xlaqpj.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47efa5d5.qua'!
C:\Documents and Settings\elsa\xuupec.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4803a5e1.qua'!
C:\Documents and Settings\elsa\zzuwjd.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4803a5e8.qua'!
C:\Documents and Settings\elsa\Local Settings\Temporary Internet Files\Content.IE5\MGB69YYY\17PHolmes[1].cmt
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47dea62c.qua'!
C:\WINDOWS\mrofinu1148.exe.tmp
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47fdad2e.qua'!
Begin scan in 'E:\' <DONNEES>
Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: jeudi 17 janvier 2008 02:45
Used time: 1:05:55 min

The scan has been done completely.

6196 Scanning directories
338720 Files were scanned
49 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
3 files were deleted
0 files were repaired
42 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
338671 Files not concerned
9710 Archives were scanned
2 Warnings
20 Notes
0
Réponse 22 / 77
Utilisateur anonyme
17 janv. 2008 à 08:36
Bonjour Elsa,
Plus efficace Antivir...Je pense que tu ne dois avoi r de problème...
Dis-moi.
Pour finir :

> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer.
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Poste le rapport qui sera généré stp.
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer

> Puis log HiJackThis stp,

A+

PS pour ta question au poste 20 ( http://www.commentcamarche.net/forum/affich 4666649 infecte par cheval de troie win32 small ikz?page=2#20 ) laisse tomber. Il ne fallait pas faire cette étape en fait...
0
Réponse 23 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 12:39
Excellent, merci pour la reprise,

Il faut que tu fasse autre chose aussi :

Télécharger sur le bureau

http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

---------------

Copie ce texte en gras

C:\WINDOWS\temp\mc???.tmp

= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic MoveIt!
= si redémarrage demandé==> Clic : YES
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse
----------------

redemarre le PC oublie pas le Log HijackThis qu'a demandé DllD.
_____________________________________________________
0
Réponse 24 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 12:42
Bonjour DllD,

merci beaucoup, je ne vois plus trop de problème.
je lance le scan kaspersky et je poste tout ça. Qu'est ce que je fait des fichiers de la zone de quarantaine?
a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 12:48
Bonjour Saiyen75,

Merci
je fais d'abord le scan kaspersky ou d'abord moveit?
0
Réponse 26 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 13:46
Fait d'abord OTMoveIt, pour essayer de supprimer (si il existe encore) le fichier "C:\WINDOWS\temp\mc???.tmp"
Et aprés fait un scan Kaspersky pour voir ce qu'il en est.

Antivir c'est trés bien, par contre (si ce n'est pas déjà fait),
Désinstalle Avast car il ne faut pas avoir 2 antivirus sur le même PC.
0
Réponse 27 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 14:15
je ne suis pas sure d'avoir fait les bonnes démarches pour OTMoveIt mais le résultat que j'obtiens est "C:\WINDOWS\temp\mc???.tmp" not found
est ce que tu peux me re détailler la procédure OTMoveIt?
Avast et AVG sont désinstallés je n'ai plus que Antivir.
0
Réponse 28 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 14:35
Ok pour les antivirus,
Pas la peine de te réexpliquer la commande, s' il ne le trouve pas c'est que c'est bon

Par contre

Refait un Clean en mode normal sous windows
Puis post le rapport encore (pour être sur)

RAPPEL :

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler. (ça peut etre un peu long)
Un rapport Va etre généré, colle le contenu entier ici.
« Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu »

_________________________________

Aprés ça, afit le scan Kaspersky online qu'a demandé DllD
Puis reposte un log Hijackthis !

On y est presque :)
0
Réponse 29 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 14:46
17/01/2008 a 14:39:04,01

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\temp\mc???.tmp FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
0
Réponse 30 / 77
Utilisateur anonyme
17 janv. 2008 à 15:43
Coucou vous deux,

Pour Avast, il faut le désinstaller à partir d'un prog. normalement :
https://www.avast.com/fr-fr/uninstall-utility

Pour nettoyer les temp, un coup de Ccleaner en mode sans échec fait l'affaire. Mais : Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).

Bonne chasse....

A+
0
Réponse 31 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 16:22
KASPERSKY ON-LINE SCANNER REPORT
Thursday, January 17, 2008 4:18:58 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 17/01/2008
Enregistrements dans la base antivirus Kaspersky : 480083
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 63211
Nombre de virus trouvés 1
Nombre d'objets infectés 14 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:24:48

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\elsa\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{97B30D38-5263-4B49-AEE4-1AB9B9E338C4}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Fri, 24 Sep 2004 23:34:50 +0200]/text/[From "Agathe" ][Date Sun, 16 Jan 2005 20:48:09 +0100]/text/[From "F ... /[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Sun, 20 Feb 2005 21:57:49 +0100]/html Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Fri, 24 Sep 2004 23:34:50 +0200]/text/[From "Agathe" ][Date Sun, 16 Jan 2005 20:48:09 +0100]/text/[From "F ... /[Fro ... /[From "paul.huron" ][Date Sun, 20 Feb 2005 21:44:00 +0100]/UNNAMED Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Fri, 24 Sep 2004 23:34:50 +0200]/text/[From "Agathe" ][Date Sun, 16 Jan 2005 20:48:09 +0100]/text/[From "F ... /[From "francoise/.lung" ][Date Sun, 20 Feb 2005 19:13:32 +0100]/UNNAMED Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Fri, 24 Sep 2004 23:34:50 +0200]/text/[From "Agathe" ][Date Sun, 16 Jan 2005 20:48:09 +0100]/text/[From "François Delapierre" ][Date 14 Feb 2005 21:06:49 +0100]/text Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Fri, 24 Sep 2004 23:34:50 +0200]/text/[From "Agathe" ][Date Sun, 16 Jan 2005 20:48:09 +0100]/text Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Fri, 24 Sep 2004 23:34:50 +0200]/text Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Tue, 07 Sep 2004 23:00:21 +0200]/text Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Mon, 16 Aug 2004 21:01:34 +0200]/text Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\mbs2mbx_en_v_1_5\export Opera\o7mails.mbx Mail Berkeley mbox: infecté - 8 ignoré
E:\Informatique\Softs\Thunderbird\store\account1\2005-02.mbs/[From "Jean-Vincent JEHANNO" ][Date Fri, 4 Feb 2005 19:48:20 +0100]/UNNAMED/[From "francoise/.lung" ][Date Sun, 20 Feb 2005 19:13:32 +0100]/UNNAMED/[From "paul.huron" ][Date Sun, 20 Feb 2005 21:44:00 +0100]/UNNAMED/[From =?iso-8859-15?Q?Ga=EBl_Duez?= ][Date Sun, 20 Feb 2005 21:57:49 +0100]/html Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\store\account1\2005-02.mbs/[From "Jean-Vincent JEHANNO" ][Date Fri, 4 Feb 2005 19:48:20 +0100]/UNNAMED/[From "francoise/.lung" ][Date Sun, 20 Feb 2005 19:13:32 +0100]/UNNAMED/[From "paul.huron" ][Date Sun, 20 Feb 2005 21:44:00 +0100]/UNNAMED Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\store\account1\2005-02.mbs/[From "Jean-Vincent JEHANNO" ][Date Fri, 4 Feb 2005 19:48:20 +0100]/UNNAMED/[From "francoise/.lung" ][Date Sun, 20 Feb 2005 19:13:32 +0100]/UNNAMED Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\store\account1\2005-02.mbs/[From "Jean-Vincent JEHANNO" ][Date Fri, 4 Feb 2005 19:48:20 +0100]/UNNAMED Infecté : Trojan-Spy.HTML.Wamufraud.bo ignoré
E:\Informatique\Softs\Thunderbird\store\account1\2005-02.mbs Mail Berkeley mbox: infecté - 4 ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
Analyse terminée.
0
Réponse 32 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 16:22
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:43, on 17/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\Documents and Settings\elsa\Mes documents\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\elsa\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1148.exe 61A847B5BBF72813339F30466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
0
Réponse 33 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 16:41
ça y est, j'ai fait un CCleaner en mode sans échec. merci à tous les deux. je ne sais pas s'il faut que je fasse autre chose ne ce que je fais de la zone quarantaine.
a+
0
Réponse 34 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 16:41
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

_____________________________________________________

Télécharger sur le bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

= Double-clic SDFix.
= Clic Install


= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel


------
= Double-clic SDFix.
= Clic Install
= Double-clic sur le nouveau dossier SDFix qui est dans C:\
= Double-clic RunThis
= Presser Y
= A l’invitation ==> appuyer sur une touche pour redémarrer
= Redémarrage ( qui sera plus long ,car nettoyage en cours )
Continuer si un message d’erreurs apparaît ,dans ce cas aller directement au rapport dans SDfix
= apparition de Finished
= Appuyer sur une touche
= Dans SDFix , un rapport Report.

_____________________________________________________


Relance le mode sans echec puis fait un clean option 2 :

- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes, puis poste le rapport.

_____________________________________________________
0
Réponse 35 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 16:47
re
merci
si vous avez besoin d'indication en plus, le premier virus que j'avais repéré est le même que celui du fil de discussion Manu17
je lance tout ce que tu viens de me transmettre
0
Réponse 36 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 16:53
Ok,

Tiens moi au courrant une fois que s'est fait.
0
Réponse 37 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 17:15
SDFix: Version 1.127

Run by elsa on 17/01/2008 at 16:59

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-17 17:03:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Disabled:Firefox"
"C:\\DOCUME~1\\elsa\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\elsa\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Player2"
"C:\\Documents and Settings\\elsa\\Bureau\\jaooyp.exe"="C:\\Documents and Settings\\elsa\\Bureau\\jaooyp.exe:*:Enabled:Windows Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files:
---------------


Files with Hidden Attributes:

Sun 8 Jan 2006 56 A.SHR --- "C:\i386\1CDC500B53.sys"
Sun 8 Jan 2006 4,184 A.SH. --- "C:\i386\KGyGaAvL.sys"
Sat 29 Apr 2006 152 ..SHR --- "C:\WINDOWS\system32\1CDC500B53.sys"
Sat 29 Apr 2006 4,184 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Thu 27 Apr 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\770ab2029a713ab32135544cfa9c6da0\BIT49.tmp"
Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT48.tmp"
Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bbe88a785b5f932c929e655dd1a187d0\BIT4A.tmp"
Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\dfe3590997ca6f73b22b53af19e63c6b\BIT4B.tmp"
Mon 19 Jan 2004 56,320 A..H. --- "C:\Documents and Settings\elsa\Mes documents\licence\Economie Publique\~WRL0089.tmp"

Finished!




Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 17/01/2008 a 17:09:28,62

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
0
Réponse 38 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 17:22
Télécharge MSNFix:

http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

envoi le fichier [b] Upload_Me.zip se trouvant sur le bureau[/b]
0
Réponse 39 / 77
Saiyen75 Messages postés 2696 Date d'inscription jeudi 8 mars 2007 Statut Membre Dernière intervention 23 novembre 2014 184
17 janv. 2008 à 17:24
Une fois que tu aura envoyé le rapport MSNFix tu :

téléchargera et Installera Navilog1 sur le bureau,

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

= double-clic dessus pour l'installer et le lancer
Quand installé
= taper F
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
le copier/coller dans la réponse
0
Réponse 40 / 77
^^elsa^^ Messages postés 58 Date d'inscription mardi 15 janvier 2008 Statut Membre Dernière intervention 19 août 2010
17 janv. 2008 à 18:22
MSNFix 1.633

C:\Documents and Settings\elsa\Bureau\MSNFix
Fix exécuté le 17/01/2008 - 18:20:00,90 By elsa
mode normal

************************ Recherche les fichiers présents

... C:\Documents and Settings\elsa\??????.exe

************************ MSNCHK ***** /!\ beta test /!\



************************ Recherche les dossiers présents

... C:\Temp\




************************ Suppression des fichiers

.. OK ... C:\Documents and Settings\elsa\??????.exe


************************ Suppression des dossiers

.. OK ... C:\Temp\


************************ Nettoyage du registre



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 17012008_18204254.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses