Virus system32
Fermé
gregnevio
Messages postés
5
Date d'inscription
lundi 28 juillet 2008
Statut
Membre
Dernière intervention
10 août 2008
-
28 juil. 2008 à 16:35
dou-l Messages postés 2860 Date d'inscription vendredi 29 février 2008 Statut Membre Dernière intervention 29 décembre 2012 - 1 août 2008 à 17:15
dou-l Messages postés 2860 Date d'inscription vendredi 29 février 2008 Statut Membre Dernière intervention 29 décembre 2012 - 1 août 2008 à 17:15
11 réponses
dou-l
Messages postés
2860
Date d'inscription
vendredi 29 février 2008
Statut
Membre
Dernière intervention
29 décembre 2012
61
28 juil. 2008 à 16:42
28 juil. 2008 à 16:42
salut,
Télécharge, puis installe MSNFix : http://sosvirus.changelog.fr/MSNFix.zip , tuto de Malekal
- Décompresse donc le dossier zip MSNFix et lance le fichier "MSNFix.bat". Une fenêtre bleue doit apparaitre.
- Mets l'interface en français en appuyant sur la touche F puis sur Entrée.
- Lance la recherche de virus en appuyant sur la touche R puis sur Entrée.
Si un virus est détecté, il te sera alors demandé de nettoyer l'ordinateur.
Un message d'erreur concernant la suppression impossible d'un fichier sera résolu par un redémarrage.
Après le nettoyage, la barre "Démarrer" s'efface puis réapparait, cela fait partie de la procédure de nettoyage.
- Poste le rapport qui s'ouvre en fin de nettoyage sur le forum stp.
Si ta barre "Démarrer" ne s'affiche toujours pas, il suffit de faire :
Ctrl + Alt + Suppr (sous Windows XP), ou Ctrl + Maj + Echap (sous Windows Vista) pour ouvrir le Gestionnaire de tâches Windows.
- Fais ensuite "Fichier", puis "Nouvelle tâche" et entre explorer.exe dans la fenêtre qui apparait et finis par "OK".
- redémarre ton ordinateur pour achever le nettoyage !
Ensuite,
Reposte un nouveau rapport HiJackT stp.
Télécharge, puis installe MSNFix : http://sosvirus.changelog.fr/MSNFix.zip , tuto de Malekal
- Décompresse donc le dossier zip MSNFix et lance le fichier "MSNFix.bat". Une fenêtre bleue doit apparaitre.
- Mets l'interface en français en appuyant sur la touche F puis sur Entrée.
- Lance la recherche de virus en appuyant sur la touche R puis sur Entrée.
Si un virus est détecté, il te sera alors demandé de nettoyer l'ordinateur.
Un message d'erreur concernant la suppression impossible d'un fichier sera résolu par un redémarrage.
Après le nettoyage, la barre "Démarrer" s'efface puis réapparait, cela fait partie de la procédure de nettoyage.
- Poste le rapport qui s'ouvre en fin de nettoyage sur le forum stp.
Si ta barre "Démarrer" ne s'affiche toujours pas, il suffit de faire :
Ctrl + Alt + Suppr (sous Windows XP), ou Ctrl + Maj + Echap (sous Windows Vista) pour ouvrir le Gestionnaire de tâches Windows.
- Fais ensuite "Fichier", puis "Nouvelle tâche" et entre explorer.exe dans la fenêtre qui apparait et finis par "OK".
- redémarre ton ordinateur pour achever le nettoyage !
Ensuite,
Reposte un nouveau rapport HiJackT stp.
Merci d'avoir répondu.
J'ai reformaté, j'ai cru que le virus était parti. J'ai téléchargé antiwir qu'il a corrompu. Je ne parviens plus à l'ouvrir ni à la supprimer dans le panneau de conf.
De même Spybot s'est retrouvé en liste noire ! C'est quoi ?
Voicie donc le rapport :
Recherche les fichiers présents
... C:\WINDOWS\mrofinu*.exe
... C:\WINDOWS\mrofinu*.exe.tmp
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\mrofinu*.exe
.. OK ... C:\WINDOWS\mrofinu*.exe.tmp
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 28072008_20322993.zip
************************ HKLM\...\Winlogon\Userinit
Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END --------------
J'ai reformaté, j'ai cru que le virus était parti. J'ai téléchargé antiwir qu'il a corrompu. Je ne parviens plus à l'ouvrir ni à la supprimer dans le panneau de conf.
De même Spybot s'est retrouvé en liste noire ! C'est quoi ?
Voicie donc le rapport :
Recherche les fichiers présents
... C:\WINDOWS\mrofinu*.exe
... C:\WINDOWS\mrofinu*.exe.tmp
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\mrofinu*.exe
.. OK ... C:\WINDOWS\mrofinu*.exe.tmp
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 28072008_20322993.zip
************************ HKLM\...\Winlogon\Userinit
Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END --------------
rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:57, on 28/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\dnets.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\17PHolmes1001186.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E6FD967002BA754E2C28323133A9D26033AAC
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:57, on 28/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\dnets.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\17PHolmes1001186.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E6FD967002BA754E2C28323133A9D26033AAC
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
dou-l
Messages postés
2860
Date d'inscription
vendredi 29 février 2008
Statut
Membre
Dernière intervention
29 décembre 2012
61
28 juil. 2008 à 22:01
28 juil. 2008 à 22:01
Telecharge malwarebytes
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dou-l
Messages postés
2860
Date d'inscription
vendredi 29 février 2008
Statut
Membre
Dernière intervention
29 décembre 2012
61
28 juil. 2008 à 22:29
28 juil. 2008 à 22:29
Je revien demain matin
bonjour,
que des pbs ! j'ai fait le scan malwarebyte : il a mis des choses en quarantaire (trojan ...) mais pc a planté avant de sauvegardé le rapport ! là il ne veut plus ouvrir ce programme : erruer de chargement des bases de données lignes 0 (0) "
spybot a mis plusieurs choses dans listes blanches et noires : que faire ? les autoriser ? les bloquer ?
pr le moment je ne parviens plus à ouvrir ces programme : c'est la panique !
merci
greg
que des pbs ! j'ai fait le scan malwarebyte : il a mis des choses en quarantaire (trojan ...) mais pc a planté avant de sauvegardé le rapport ! là il ne veut plus ouvrir ce programme : erruer de chargement des bases de données lignes 0 (0) "
spybot a mis plusieurs choses dans listes blanches et noires : que faire ? les autoriser ? les bloquer ?
pr le moment je ne parviens plus à ouvrir ces programme : c'est la panique !
merci
greg
rapport log spybot
28/07/2008 20:25:48 Refusé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") modifié(e) in System Startup global entry!
28/07/2008 20:33:49 Refusé(e) (based on user decision) value "runner1" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 20:34:28 Refusé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") modifié(e) in System Startup global entry!
28/07/2008 21:09:27 Refusé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") modifié(e) in System Startup global entry!
28/07/2008 21:09:59 Autorisé(e) (based on user decision) value "runner1" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 21:16:35 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "") supprimé(e) in Desktop settings!
28/07/2008 22:13:29 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *
lsdelete
") ajouté(e) in Session manager!
28/07/2008 22:13:34 Autorisé(e) (based on user decision) value "ExcludeFromKnownDlls" (new data: "") ajouté(e) in Session manager!
28/07/2008 22:13:36 Autorisé(e) (based on user decision) value "BootExecute" (new data: "") supprimé(e) in Session manager!
28/07/2008 22:13:42 Autorisé(e) (based on user decision) value "ExcludeFromKnownDlls" (new data: "") supprimé(e) in Session manager!
28/07/2008 22:13:55 Autorisé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") ajouté(e) in System Startup global entry!
28/07/2008 22:33:21 Autorisé(e) (based on user decision) value "MSMSGS" (new data: ""C:\Program Files\Messenger\MSMSGS.EXE" /background") ajouté(e) in System Startup user entry!
28/07/2008 22:35:59 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "C:\WINDOWS\System32\logon.scr") ajouté(e) in Desktop settings!
28/07/2008 22:38:11 Autorisé(e) (based on user decision) value "MSConfig" (new data: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto") ajouté(e) in System Startup global entry!
28/07/2008 22:50:04 Autorisé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup user entry!
28/07/2008 22:50:17 Autorisé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup user entry!
28/07/2008 22:50:25 Encountered and terminated Cydoor in C:\WINDOWS\system32\lsass.exe!
28/07/2008 22:50:44 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 22:51:28 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 22:51:33 Encountered and terminated Win32.Rbot.bms in C:\WINDOWS\System32\dllcache\sxch0st.exe!
28/07/2008 22:51:40 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 22:51:46 Refusé(e) (based on user decision) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 23:15:16 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 23:15:24 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 23:15:32 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:58:56 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:59:11 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:59:21 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:59:27 Refusé(e) (based on user decision) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 20:25:48 Refusé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") modifié(e) in System Startup global entry!
28/07/2008 20:33:49 Refusé(e) (based on user decision) value "runner1" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 20:34:28 Refusé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") modifié(e) in System Startup global entry!
28/07/2008 21:09:27 Refusé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") modifié(e) in System Startup global entry!
28/07/2008 21:09:59 Autorisé(e) (based on user decision) value "runner1" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 21:16:35 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "") supprimé(e) in Desktop settings!
28/07/2008 22:13:29 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *
lsdelete
") ajouté(e) in Session manager!
28/07/2008 22:13:34 Autorisé(e) (based on user decision) value "ExcludeFromKnownDlls" (new data: "") ajouté(e) in Session manager!
28/07/2008 22:13:36 Autorisé(e) (based on user decision) value "BootExecute" (new data: "") supprimé(e) in Session manager!
28/07/2008 22:13:42 Autorisé(e) (based on user decision) value "ExcludeFromKnownDlls" (new data: "") supprimé(e) in Session manager!
28/07/2008 22:13:55 Autorisé(e) (based on user decision) value "runner1" (new data: "C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310") ajouté(e) in System Startup global entry!
28/07/2008 22:33:21 Autorisé(e) (based on user decision) value "MSMSGS" (new data: ""C:\Program Files\Messenger\MSMSGS.EXE" /background") ajouté(e) in System Startup user entry!
28/07/2008 22:35:59 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "C:\WINDOWS\System32\logon.scr") ajouté(e) in Desktop settings!
28/07/2008 22:38:11 Autorisé(e) (based on user decision) value "MSConfig" (new data: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto") ajouté(e) in System Startup global entry!
28/07/2008 22:50:04 Autorisé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup user entry!
28/07/2008 22:50:17 Autorisé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup user entry!
28/07/2008 22:50:25 Encountered and terminated Cydoor in C:\WINDOWS\system32\lsass.exe!
28/07/2008 22:50:44 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 22:51:28 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 22:51:33 Encountered and terminated Win32.Rbot.bms in C:\WINDOWS\System32\dllcache\sxch0st.exe!
28/07/2008 22:51:40 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 22:51:46 Refusé(e) (based on user decision) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!
28/07/2008 23:15:16 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 23:15:24 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
28/07/2008 23:15:32 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:58:56 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:59:11 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:59:21 Refusé(e) (based on user decision) value "windows updatess" (new data: "svchoost.exe") ajouté(e) in System Startup global entry!
29/07/2008 09:59:27 Refusé(e) (based on user decision) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!
ren redémarrant j'ai pu accéder à malware et au rapport :
Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1002
Windows 5.1.2600 Service Pack 1
01:41:24 29/07/2008
mbam-log-7-29-2008 (01-40-31).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 39213
Temps écoulé: 45 minute(s), 11 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
C:\WINDOWS\mrofinu1001186.exe (Trojan.Downloader) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updatess (Backdoor.Bot) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\mrofinu1001186.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Aurélien LENAARS\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\GDEVGHIN\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\svchoost.exe (Backdoor.Bot) -> No action taken.
C:\wintcps.exe (Trojan.Agent) -> No action taken.
rapport de ce matin (scan rapide)
Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1002
Windows 5.1.2600 Service Pack 1
10:38:34 29/07/2008
mbam-log-7-29-2008 (10-38-17).txt
Type de recherche: Examen rapide
Eléments examinés: 38018
Temps écoulé: 2 minute(s), 43 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 23
Processus mémoire infecté(s):
C:\WINDOWS\mrofinu1001186.exe (Trojan.Agent) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updatess (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\76bda8ea.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5PL2MQ7P\mpvspl[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5PL2MQ7P\rkdnxghe[1].txt (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EMM0XY78\ouakgqantq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EMM0XY78\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I9WFKJS2\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PEE7VVKS\dsuper[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PEE7VVKS\hjtdaxtq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PEE7VVKS\lrxherblpj[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\GDEVGHIN\lrxherblpj[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\KHUZCX2V\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\KHUZCX2V\dsuper[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\KHUZCX2V\hjtdaxtq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\M16NARAV\ouakgqantq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\M16NARAV\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\UXY5QPUR\mpvspl[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\UXY5QPUR\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\Aurélien LENAARS\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\svchoost.exe (Backdoor.Bot) -> No action taken.
C:\wintcps.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mrofinu1001186.exe (Trojan.Agent) -> No action taken.
C:\d1.exe (Trojan.Agent) -> No action taken.
C:\d.exe (Trojan.Agent) -> No action taken.
c'est terrible ! non ?
Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1002
Windows 5.1.2600 Service Pack 1
01:41:24 29/07/2008
mbam-log-7-29-2008 (01-40-31).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 39213
Temps écoulé: 45 minute(s), 11 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
C:\WINDOWS\mrofinu1001186.exe (Trojan.Downloader) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updatess (Backdoor.Bot) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\mrofinu1001186.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Aurélien LENAARS\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\GDEVGHIN\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\svchoost.exe (Backdoor.Bot) -> No action taken.
C:\wintcps.exe (Trojan.Agent) -> No action taken.
rapport de ce matin (scan rapide)
Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1002
Windows 5.1.2600 Service Pack 1
10:38:34 29/07/2008
mbam-log-7-29-2008 (10-38-17).txt
Type de recherche: Examen rapide
Eléments examinés: 38018
Temps écoulé: 2 minute(s), 43 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 23
Processus mémoire infecté(s):
C:\WINDOWS\mrofinu1001186.exe (Trojan.Agent) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updatess (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\76bda8ea.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5PL2MQ7P\mpvspl[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5PL2MQ7P\rkdnxghe[1].txt (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EMM0XY78\ouakgqantq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EMM0XY78\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I9WFKJS2\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PEE7VVKS\dsuper[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PEE7VVKS\hjtdaxtq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PEE7VVKS\lrxherblpj[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\GDEVGHIN\lrxherblpj[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\KHUZCX2V\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\KHUZCX2V\dsuper[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\KHUZCX2V\hjtdaxtq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\M16NARAV\ouakgqantq[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\M16NARAV\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\UXY5QPUR\mpvspl[1].htm (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Grégory MICHEL\Local Settings\Temporary Internet Files\Content.IE5\UXY5QPUR\yflhrol[1].htm (Backdoor.Rustock) -> No action taken.
C:\Documents and Settings\Aurélien LENAARS\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\17PHolmes[1].cmt (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\svchoost.exe (Backdoor.Bot) -> No action taken.
C:\wintcps.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mrofinu1001186.exe (Trojan.Agent) -> No action taken.
C:\d1.exe (Trojan.Agent) -> No action taken.
C:\d.exe (Trojan.Agent) -> No action taken.
c'est terrible ! non ?
dou-l
Messages postés
2860
Date d'inscription
vendredi 29 février 2008
Statut
Membre
Dernière intervention
29 décembre 2012
61
29 juil. 2008 à 13:25
29 juil. 2008 à 13:25
D'apres le rapport malware bytes tu n'as rien supprimé va dans sa quarantaine, séléctionnes tout, puis tu cliques sur supprimé la séléction et renvoie un nouveau log hijackthis
Bonjour,
L'issue de tout ça fut malheureuse : en effet, j'avais viré ce qui était en quarantaine, fais d'autres vérifs mais au final window ne démarrait plus. Donc, j'ai décidé d'amener le pc dans un magasin informatique qui me propose de m'installer un nouveau window pour 39 euros !
Merci pour tout
Gregnevio
L'issue de tout ça fut malheureuse : en effet, j'avais viré ce qui était en quarantaine, fais d'autres vérifs mais au final window ne démarrait plus. Donc, j'ai décidé d'amener le pc dans un magasin informatique qui me propose de m'installer un nouveau window pour 39 euros !
Merci pour tout
Gregnevio
dou-l
Messages postés
2860
Date d'inscription
vendredi 29 février 2008
Statut
Membre
Dernière intervention
29 décembre 2012
61
1 août 2008 à 17:15
1 août 2008 à 17:15
Ok dommage !
A+
A+