WINTEM.EXE

Résolu
balou30 Messages postés 33 Statut Membre -  
 alexandrezeke -
Bonjour,
Mon ordinateur est infecté par le virus wintens.exe et je n'arrive pas à l'enlever quelqu'un peut m'aider ?
Configuration: Windows Vista
Internet Explorer 7.0

51 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs intervenants évoquent une infection par wintens.exe sur Windows Vista et les difficultés à éliminer le malware, décrivant des symptômes et des composants suspects comme Beagle. Des éléments de réponse essentiels suggèrent d'utiliser ComboFix pour désinfecter et de créer un point de restauration avant de nettoyer, tout en restant prudent quant à l'emploi de certains outils prescrits. En cas de progression, le fil montre des échanges sur des scripts et des rapports, et met en garde contre l'usage de logiciels prescrits, avec des retours positifs après l'application de ComboFix.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    How ...

    Bon il faut mettre à jour Elibagla ,

    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89
    a "virus@satinfo.es". Gracias.

    Envois -> C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89 ce fichier , a l'adresse virus@satinfo.es

    a+
    1
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Voici mon passe-partout (provisoire) Beagle:

    File::
    c:\windows\system32\mdelk.exe
    C:\WINDOWS\system32\anti_troj.exe
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
    C:\WINDOWS\system32\german.exe
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe
    c:\WINDOWS\system32\drivers\hidr.exe
    C:\WINDOWS\system32\drivers\SROSA.SYS

    Folder::
    C:\WINDOWS\system32\drivers\down
    C:\QooBox\Quarantine\Registry_backups
    C:\Program Files\m

    Driver::
    drvsyskit
    srosa
    hldrrr
    hidr

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "drvsyskit"=-
    "german.exe"=-
    "mule_st_key"=-
    "C:\Documents and Settings\<user>\Application Data\m\flec006.exe"=-
    [-HKEY_CURRENT_USER\Software\FirstRRRun]
    [-HKEY_CURRENT_USER\SOFTWARE\DateTime4]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
    "start"=dword:00000004
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
    "start"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa]

    Bonne nuit
    Al
    1
    1. Utilisateur anonyme
       
      Re , hey pas mal ! j'y avais pas pensé ^^
      Merci =)
      Bonne nuit a toi aussi
      a+
      0
  3. Utilisateur anonyme
     
    Lut'

    Télécharge HJT

    Lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport.

    A+
    0
  4. balou30 Messages postés 33 Statut Membre
     
    Merci beaucoup pour ta réponse. Je finis de scanner avec elibag comme j'ai lus dans les différents post. Pui je te téléchargerai le logiciel que tu m'a donné pour te poster le rapport. Merci beaucoup en tous cas parce que moi j'y comprend que dalle ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balou30 Messages postés 33 Statut Membre
     
    Voici le rapport demandé : du moins si c'est bien sa

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:44:57, on 20/01/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16575)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Windows\RtHDVCpl.exe
    C:\Windows\VM305_STI.EXE
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: ::1 localhost
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
    O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
    O4 - HKLM\..\Run: [BigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\Windows\Philips\SPC500NC\Monitor.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\mac30@hotmail.fr\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TED4B2W7\EliBaglA[1].exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [?????????] ??????????????e
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
    O4 - Startup: Xinek.lnk = ?
    O4 - Global Startup: Empowering Technology Launcher.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  7. Utilisateur anonyme
     
    Re

    Fixe ces lignes ( coche la cases à leurs gauches -> ' fixchecked ' )

    O4 - HKCU\..\Run: [?????????] ??????????????e

    *******************

    Et poste moi le rapport d'Elibagla + HJT

    a+
    0
  8. balou30 Messages postés 33 Statut Membre
     
    Si tu veux j'ai aussi le rapport d'ELIBAG si tu le souhaite.
    0
  9. balou30 Messages postés 33 Statut Membre
     
    Alors pour HJT : j'ai coché ce que tu m'a indiqué puis j'ai appuyé sur FIX checked mais je n'arrive pas a faire un copier collé du rapport demandé (désolé)

    Par contre voici le rapport d'ELIBAG

    Sun Jan 20 14:10:18 2008
    EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
    Por favor, envienos una muestra del fichero
    C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

    Sun Jan 20 14:10:51 2008
    EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 16491
    Nº Total de Ficheros: 82168
    Nº de Ficheros Analizados: 11288
    Nº de Ficheros Infectados: 1
    Nº de Ficheros Limpiados: 0

    Sun Jan 20 14:33:16 2008
    EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 16491
    Nº Total de Ficheros: 82635
    Nº de Ficheros Analizados: 11288
    Nº de Ficheros Infectados: 1
    Nº de Ficheros Limpiados: 0
    0
  10. Utilisateur anonyme
     
    Ben tu l'a déja fait ...

    Essaye a nouveau puis ,

    Aprés , télécharge OTmoveIt ( de Old Timer )

    Une fois téléchargé double-clique sur OTMoveIt.exe pour le lancer.
    copie les lignes qui se trouvent en dessous

    C:\WINDOWS\SYSTEM32\WINTEMS.EXE

    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

    et colle-les dans le cadre de gauche de OTMoveIt : "Paste List of Files/Folders to be moved."
    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte.

    A+
    0
  11. balou30 Messages postés 33 Statut Membre
     
    voici le nouveau rapport de HJT

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:06:47, on 20/01/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16575)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Windows\RtHDVCpl.exe
    C:\Windows\VM305_STI.EXE
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O1 - Hosts: ::1 localhost
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
    O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
    O4 - HKLM\..\Run: [BigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\Windows\Philips\SPC500NC\Monitor.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\mac30@hotmail.fr\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TED4B2W7\EliBaglA[1].exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [?????????] ??????????????e
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
    O4 - Startup: Xinek.lnk = ?
    O4 - Global Startup: Empowering Technology Launcher.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  12. Utilisateur anonyme
     
    Tu l'a coché celle-la ? ---> O4 - HKCU\..\Run: [?????????] ??????????????e

    Réessaye puis reposte un rapport HJT.

    J'attend celui de OTMoveIt

    a+
    0
  13. balou30 Messages postés 33 Statut Membre
     
    Je te confirme avoir coché :

    04 - HKCU/../Run: [????????????????]????????????????????????e

    Voici le rapport de OTMoveIT

    File move failed. C:\WINDOWS\SYSTEM32\WINTEMS.EXE scheduled to be moved on reboot.
    File/Folder not found.
    File move failed. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS scheduled to be moved on reboot.
    File/Folder not found.
    File move failed. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE scheduled to be moved on reboot.

    Je recommence HJT
    0
  14. balou30 Messages postés 33 Statut Membre
     
    Oh j'oublier en rallumant mon ordi ya une fenêtre "select file to crack" apparait je sais pas si c'est normal merci
    0
  15. balou30 Messages postés 33 Statut Membre
     
    Cette ligne
    O4 - HKCU\..\Run: [?????????] ??????????????e

    revient a chaque fois.
    0
  16. balou30 Messages postés 33 Statut Membre
     
    ok je vais l'envoyer merci pour ton aide
    0
  17. tifoul Messages postés 10 Statut Membre
     
    Tu as raison c'es un WINTEM.EXE se sera tres dur de le supprimer (voir impossible) ton bios a ete deja infécté ar ce virus c' sur.
    0
  18. balou30 Messages postés 33 Statut Membre
     
    Et si je formate mon ordi a ton avis il disparaitra ?
    0
  19. tifoul Messages postés 10 Statut Membre
     
    Sa depent,si il a eu assez de temps pour infecter ton bios jusqu'au sysboot.exe ou pas.
    0
  20. balou30 Messages postés 33 Statut Membre
     
    je savais que c'était un gros virus mais pas a ce point j'avoue :(
    0
  21. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut à TLM

    Tente de télécharger Bitdefender Internet Security, là il est en version d'évaluation mais il se met à jour comme si tu l'avais acheté.
    Voilà le lien : < http://perf.weborama.fr/fcgi-bin/performance.fcgi?ID=210919&A=1&L=19545&C=803&P=1825&T=I&URL=ftp%3A%2F%2Fftp.editions-profil.fr%2FVersions_Evaluation%2FBitDefender%2FWindows%2FPostesdeTravail%2Fbitdefender_isecurity.exe >

    Installe-le, mets-le à jour, et fais une analyse approfondie du système.
    Ce prog est fiable à 99%... Si rien n'avance par la suite re-contacte le forum...

    Tuto https://secure.mailsoft.fr/docs/editions-profil/Manuel_BDIS.pdf

    Bonne chance
    Al.
    0
  • 1
  • 2
  • 3