Pb virus srosa.sys et autres
Résolu
vincolo
Messages postés
108
Date d'inscription
Statut
Membre
Dernière intervention
-
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
je suis assez novice en terme de suppression de virus...
Je vous explique mon problème.
A ce que j'ai lu dans les différents forums, j'aurais téléchargé un fichier emule infecté hier sur mon pc portable.
Depuis,avast ne se lance plus,mon pc est très lent et je ne peux plus me connecter à internet(Windows ne peut pas configurer cette connexion sans fil)
J'ai testé différents logiciels comme
elibagle : il m'a trouvé et supprimé deux bagle
Anti spyware....
Depuis j'arrive à lancer Avast et ccleaner même si avast ne se lance pas automatiquement à l'ouverture de mon pc.Mon pc est un peu plus rapide mais je ne peux toujours pas me connecter à internet.
J'ai donc installé et exécuté combofix qui me détecte divers problèmes mais je ne comprends pas tout.
J'ai lu qu'il ne fallait pas poster dès le premier post un rapport donc je ne le fais pas.
Quelqu'un pourrait-il m'aider s'il vous plait?
Je vous en serais très reconnaissant.
Merci d'avance
Cordialement
Vince
je suis assez novice en terme de suppression de virus...
Je vous explique mon problème.
A ce que j'ai lu dans les différents forums, j'aurais téléchargé un fichier emule infecté hier sur mon pc portable.
Depuis,avast ne se lance plus,mon pc est très lent et je ne peux plus me connecter à internet(Windows ne peut pas configurer cette connexion sans fil)
J'ai testé différents logiciels comme
elibagle : il m'a trouvé et supprimé deux bagle
Anti spyware....
Depuis j'arrive à lancer Avast et ccleaner même si avast ne se lance pas automatiquement à l'ouverture de mon pc.Mon pc est un peu plus rapide mais je ne peux toujours pas me connecter à internet.
J'ai donc installé et exécuté combofix qui me détecte divers problèmes mais je ne comprends pas tout.
J'ai lu qu'il ne fallait pas poster dès le premier post un rapport donc je ne le fais pas.
Quelqu'un pourrait-il m'aider s'il vous plait?
Je vous en serais très reconnaissant.
Merci d'avance
Cordialement
Vince
A voir également:
- Pb virus srosa.sys et autres
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
211 réponses
arg ca a pas marché
otmovit
C:\WINDOWS\system32\drivers\downld moved successfully.
Folder C:\Documents and Settings\Administrateur\Application Data\m\ not found.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08242008_182531
findb
+- FindB mis a jours le 24/08/08 par Chiquitine29
+- Recherche de fichier infectueux :
+- Recherche dans : C:\WINDOWS\Prefetch :
+- Recherche dans : C:\WINDOWS\system32 :
+- Recherche dans : C:\WINDOWS\system32\drivers :
C:\WINDOWS\system32\drivers\downld Présent!!
+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
+- Registre :
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinPatrol REG_SZ C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
TPKMAPHELPER REG_SZ C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY REG_SZ C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
LXDDCATS REG_SZ rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pdfSaver3 REG_SZ "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+- Registre, recherche Srosa :
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\FirstRRRun
+- Recherche terminee !
+- Execute le : 24/08/2008 a 18:28:35,96
Je n'y comprends vraiment rien.
Comment va t on faire pour le supprimer????
Je te remrcie vraiment du temps que tu m'accordes
otmovit
C:\WINDOWS\system32\drivers\downld moved successfully.
Folder C:\Documents and Settings\Administrateur\Application Data\m\ not found.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08242008_182531
findb
+- FindB mis a jours le 24/08/08 par Chiquitine29
+- Recherche de fichier infectueux :
+- Recherche dans : C:\WINDOWS\Prefetch :
+- Recherche dans : C:\WINDOWS\system32 :
+- Recherche dans : C:\WINDOWS\system32\drivers :
C:\WINDOWS\system32\drivers\downld Présent!!
+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
+- Registre :
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinPatrol REG_SZ C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
TPKMAPHELPER REG_SZ C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY REG_SZ C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
LXDDCATS REG_SZ rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pdfSaver3 REG_SZ "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+- Registre, recherche Srosa :
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\FirstRRRun
+- Recherche terminee !
+- Execute le : 24/08/2008 a 18:28:35,96
Je n'y comprends vraiment rien.
Comment va t on faire pour le supprimer????
Je te remrcie vraiment du temps que tu m'accordes
je viens de jeter un coup d'oeil ds l'explorateur avec fichier masqué OK...
et aucune trace du dossier m
il n'existe pas ou enfin je ne le vois pas ds l'arborescence
merci
et aucune trace du dossier m
il n'existe pas ou enfin je ne le vois pas ds l'arborescence
merci
ça c est un bug :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
probleme de compatibilité
fais un fix reg pour cette clé ainsi :
REGEDIT4
HKEY_CURRENT_USER\Software\FirstRRRun
ensuite nouveau rapport findB si ça marche pas supprime la clé manuellement
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
probleme de compatibilité
fais un fix reg pour cette clé ainsi :
REGEDIT4
HKEY_CURRENT_USER\Software\FirstRRRun
ensuite nouveau rapport findB si ça marche pas supprime la clé manuellement
ji comprend rien
fix reg avec autre clé marche pas
suppression clé manuelle marche mais dès redémarrage du pc elle réapparait
rapport aprè suppression clé en mode ss echec et redémarrage mode normal
merci d'avance
+- FindB mis a jours le 24/08/08 par Chiquitine29
+- Recherche de fichier infectueux :
+- Recherche dans : C:\WINDOWS\Prefetch :
+- Recherche dans : C:\WINDOWS\system32 :
+- Recherche dans : C:\WINDOWS\system32\drivers :
C:\WINDOWS\system32\drivers\downld Présent!!
+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
+- Registre :
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinPatrol REG_SZ C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
TPKMAPHELPER REG_SZ C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY REG_SZ C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
LXDDCATS REG_SZ rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pdfSaver3 REG_SZ "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+- Registre, recherche Srosa :
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\FirstRRRun
+- Recherche terminee !
+- Execute le : 24/08/2008 a 19:11:42,10
fix reg avec autre clé marche pas
suppression clé manuelle marche mais dès redémarrage du pc elle réapparait
rapport aprè suppression clé en mode ss echec et redémarrage mode normal
merci d'avance
+- FindB mis a jours le 24/08/08 par Chiquitine29
+- Recherche de fichier infectueux :
+- Recherche dans : C:\WINDOWS\Prefetch :
+- Recherche dans : C:\WINDOWS\system32 :
+- Recherche dans : C:\WINDOWS\system32\drivers :
C:\WINDOWS\system32\drivers\downld Présent!!
+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
+- Registre :
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinPatrol REG_SZ C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
TPKMAPHELPER REG_SZ C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY REG_SZ C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
LXDDCATS REG_SZ rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pdfSaver3 REG_SZ "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+- Registre, recherche Srosa :
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\FirstRRRun
+- Recherche terminee !
+- Execute le : 24/08/2008 a 19:11:42,10
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
supprime findb
Telecharge FindyKill a la racine de ton disque
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill_96.rar
dezippe le a la racine du disque
-> Redémarre en mode sans échec :
Comment redémarrer en mode sans echec?
Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.
-> Tuto :https://www.malekal.com/demarrer-windows-mode-sans-echec/
une fois dans ce mode :
supprime le dossier : C:\Windows\system32\drivers\downld
entre dans le dossier FindyKill
double clic sur findyKill.bat
choisi l option 2
il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du rapport (post le)
Telecharge FindyKill a la racine de ton disque
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill_96.rar
dezippe le a la racine du disque
-> Redémarre en mode sans échec :
Comment redémarrer en mode sans echec?
Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.
-> Tuto :https://www.malekal.com/demarrer-windows-mode-sans-echec/
une fois dans ce mode :
supprime le dossier : C:\Windows\system32\drivers\downld
entre dans le dossier FindyKill
double clic sur findyKill.bat
choisi l option 2
il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du rapport (post le)
voici le rapport
** Rapport FindyKill **
+- Suppression des clefs du registre..
+- Suppression des clefs du registre effectuée !
/!\..... Premier passage ...../!\
+- Suppression des fichiers dans C:
+- Suppression des fichiers dans C:\WINDOWS\Prefetch
+- Suppression des fichiers dans C:\WINDOWS\system32
+- Suppression des fichiers dans C:\WINDOWS\system32\drivers
+- Suppression des fichiers dans C:\Documents and Settings\Administrateur\Application Data
/!\..... Second passage ...../!\
+- Suppression des fichiers dans C:
+- Suppression des fichiers dans C:\WINDOWS\Prefetch
+- Suppression des fichiers dans C:\WINDOWS\system32
+- Suppression des fichiers dans C:\WINDOWS\system32\drivers
+- Suppression des fichiers dans C:\Documents and Settings\Administrateur\Application Data
! Nettoyage realisé avec succès !
Suppression executée le 24/08/2008 a 20:13:40,46
mais pourtant la je viens de chercher dans l'explorateur et le dossier downld est toujours présent!!!!!
merci
** Rapport FindyKill **
+- Suppression des clefs du registre..
+- Suppression des clefs du registre effectuée !
/!\..... Premier passage ...../!\
+- Suppression des fichiers dans C:
+- Suppression des fichiers dans C:\WINDOWS\Prefetch
+- Suppression des fichiers dans C:\WINDOWS\system32
+- Suppression des fichiers dans C:\WINDOWS\system32\drivers
+- Suppression des fichiers dans C:\Documents and Settings\Administrateur\Application Data
/!\..... Second passage ...../!\
+- Suppression des fichiers dans C:
+- Suppression des fichiers dans C:\WINDOWS\Prefetch
+- Suppression des fichiers dans C:\WINDOWS\system32
+- Suppression des fichiers dans C:\WINDOWS\system32\drivers
+- Suppression des fichiers dans C:\Documents and Settings\Administrateur\Application Data
! Nettoyage realisé avec succès !
Suppression executée le 24/08/2008 a 20:13:40,46
mais pourtant la je viens de chercher dans l'explorateur et le dossier downld est toujours présent!!!!!
merci
re
supprime findykill , supprime findb
Telecharge FindB :
- Fas un clic droit sur le lien, enregistrer sous .... sur le bureau
---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar
1) Double clic sur FindB
2) Post le rapport FindB.txt dans ton prochain message
note : le rapport FindB.txt est sauvegardé a la racine du disque
supprime findykill , supprime findb
Telecharge FindB :
- Fas un clic droit sur le lien, enregistrer sous .... sur le bureau
---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar
1) Double clic sur FindB
2) Post le rapport FindB.txt dans ton prochain message
note : le rapport FindB.txt est sauvegardé a la racine du disque
+- FindB mis a jours le 21/08/08 par Chiquitine29
+- Recherche de fichier infectueux :
+- Recherche dans : C:\WINDOWS\Prefetch :
+- Recherche dans : C:\WINDOWS\system32 :
+- Recherche dans : C:\WINDOWS\system32\drivers :
C:\WINDOWS\system32\drivers\downld Présent!!
+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
+- Registre :
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinPatrol REG_SZ C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
TPKMAPHELPER REG_SZ C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY REG_SZ C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
LXDDCATS REG_SZ rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pdfSaver3 REG_SZ "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+- Registre, recherche Srosa :
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\FirstRRRun
+- Recherche terminee !
+- Execute le : 24/08/2008 a 20:29:22,60
+- Recherche de fichier infectueux :
+- Recherche dans : C:\WINDOWS\Prefetch :
+- Recherche dans : C:\WINDOWS\system32 :
+- Recherche dans : C:\WINDOWS\system32\drivers :
C:\WINDOWS\system32\drivers\downld Présent!!
+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )
+- Registre :
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinPatrol REG_SZ C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
TPKMAPHELPER REG_SZ C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY REG_SZ C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
LXDDCATS REG_SZ rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pdfSaver3 REG_SZ "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
+- Registre, recherche Srosa :
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\FirstRRRun
+- Recherche terminee !
+- Execute le : 24/08/2008 a 20:29:22,60
Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)
http://sd-1.archive-host.com/membres/up/1366464061/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
http://sd-1.archive-host.com/membres/up/1366464061/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
salut
voila ce que ca donne
KB : Exécuté le : 24/08/2008 à 20:51:01
+- Processus infectieux actifs :
- Aucun processus infectieux en cours d'utilisation.
+- Affichage des fichiers cachés :
- Réparé.
+- Fin du rapport
Elibagle
Sun Aug 24 20:51:02 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Sun Aug 24 20:51:25 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5512
Nº Total de Ficheros: 59639
Nº de Ficheros Analizados: 12987
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Merci de ton aide
voila ce que ca donne
KB : Exécuté le : 24/08/2008 à 20:51:01
+- Processus infectieux actifs :
- Aucun processus infectieux en cours d'utilisation.
+- Affichage des fichiers cachés :
- Réparé.
+- Fin du rapport
Elibagle
Sun Aug 24 20:51:02 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Sun Aug 24 20:51:25 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5512
Nº Total de Ficheros: 59639
Nº de Ficheros Analizados: 12987
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Merci de ton aide
voila ce que je te propose,
fais le point sur le pc
comment va le parefeu antivirus centre de secu windows update etc et dis moi
pour la clé y a un soucis sur un autre topic on a le meme soucis
donc on aura une soluce je pense d ici demain
demain reviens aux nouvelles avec le bilan de santé du pc
qu en penses tu ?
supprime tout les outils utilisé aussi afin de faire un coup de propre (sauf malewarebyte)
fais le point sur le pc
comment va le parefeu antivirus centre de secu windows update etc et dis moi
pour la clé y a un soucis sur un autre topic on a le meme soucis
donc on aura une soluce je pense d ici demain
demain reviens aux nouvelles avec le bilan de santé du pc
qu en penses tu ?
supprime tout les outils utilisé aussi afin de faire un coup de propre (sauf malewarebyte)
ouai c'est bien ce que je pensais
je vais lacher l'affaire
centre de sécu ok pare feu actif
je vais installer nod32 dem1 matin
nettoyer tout comme tu as dit
et puis je pense que je vais rester comme ca
le pc tourne nickel
donc je pense que ca va aller,enfin j'espère
je te dis VRAIMENT UN GRAND MERCI
je repasserais demain voir si tas du nouveau pour la clé
merci encore et bonne soirée
je vais lacher l'affaire
centre de sécu ok pare feu actif
je vais installer nod32 dem1 matin
nettoyer tout comme tu as dit
et puis je pense que je vais rester comme ca
le pc tourne nickel
donc je pense que ca va aller,enfin j'espère
je te dis VRAIMENT UN GRAND MERCI
je repasserais demain voir si tas du nouveau pour la clé
merci encore et bonne soirée
Salut à vous trois,
Courage les gars.
De plus en plus compliqué !
Beagle en mutation perpétuelle ==>
•- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\Active Setup Temp Folders]
"Folder"="C:\\WINDOWS\\msdownld.tmp|?:\\msdownld.tmp"
•- C:\Documents and Settings\Administrateur\Application Data\m\data.octt
• HKEY_CURRENT_USER\Software\FirstRRRun
Essaie de lui faire utiliser IceSword pour voir s'il lui aussi reçoit ce message d'erreur qui empêche de lancer IceSword.exe
Merci
Al.
Courage les gars.
De plus en plus compliqué !
Beagle en mutation perpétuelle ==>
•- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\Active Setup Temp Folders]
"Folder"="C:\\WINDOWS\\msdownld.tmp|?:\\msdownld.tmp"
•- C:\Documents and Settings\Administrateur\Application Data\m\data.octt
• HKEY_CURRENT_USER\Software\FirstRRRun
Essaie de lui faire utiliser IceSword pour voir s'il lui aussi reçoit ce message d'erreur qui empêche de lancer IceSword.exe
Merci
Al.
Bonjour TLM
Salut vincolo ==> as-tu des nouvelles à nous apporter ?
Télécharger OAD par ce lien: < http://sosvirus.changelog.fr/OAD.exe >
•-Enregistre-le sur ton bureau
Pour l'utilisation sous XP: Lancer « OAD.exe » en cliquant sur < http://sosvirus.changelog.fr/OAD/1.bmp >.
Pour l'utilisation sous Vista: Clique droit sur le fichier « OAD.exe » et sur « Propriétés », dans l'onglet « Compatibilité », Cadre "Niveau de privilège" il faut cocher "Exécuter ce programme en tant qu'administrateur".
•- Lancer « OAD.exe » en cliquant sur < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter en tant que »
==> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper SROSA puis [Enter]
==> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.
•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".
Refais la même chose, mais avec le mot LEGACY_SROSA
Merci
Al.
Salut vincolo ==> as-tu des nouvelles à nous apporter ?
Télécharger OAD par ce lien: < http://sosvirus.changelog.fr/OAD.exe >
•-Enregistre-le sur ton bureau
Pour l'utilisation sous XP: Lancer « OAD.exe » en cliquant sur < http://sosvirus.changelog.fr/OAD/1.bmp >.
Pour l'utilisation sous Vista: Clique droit sur le fichier « OAD.exe » et sur « Propriétés », dans l'onglet « Compatibilité », Cadre "Niveau de privilège" il faut cocher "Exécuter ce programme en tant qu'administrateur".
•- Lancer « OAD.exe » en cliquant sur < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter en tant que »
==> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper SROSA puis [Enter]
==> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.
•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".
Refais la même chose, mais avec le mot LEGACY_SROSA
Merci
Al.
Bonjour à tous
bon j'ai fait un gros nettoyage de toutes les applications que vous m'aviez fait utiliser
je viens d'installer nod 32
tt va bien sauf que malware me détetce encore C:\Windows\System32\drivers\downld
sinon voici les deux rapports
25/08/2008 ---- 14:12:08,07
----------------------------------
§§§§§§ [SROSA] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
et
25/08/2008 ---- 14:14:36,79
----------------------------------
§§§§§§ [LEGACY_SROSA] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Voila
j'espère que ca va vous aider
merci encore de votre aide
bon j'ai fait un gros nettoyage de toutes les applications que vous m'aviez fait utiliser
je viens d'installer nod 32
tt va bien sauf que malware me détetce encore C:\Windows\System32\drivers\downld
sinon voici les deux rapports
25/08/2008 ---- 14:12:08,07
----------------------------------
§§§§§§ [SROSA] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
et
25/08/2008 ---- 14:14:36,79
----------------------------------
§§§§§§ [LEGACY_SROSA] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Voila
j'espère que ca va vous aider
merci encore de votre aide
Bonjour
Bien
Essaie ceci et ensuite vois si ce dossier downld vit toujours :
Télécharge http://cjoint.com/data/iyvrUHUOIl_Kill_leg.zip
Dézipper l'archive "iyvrUHUOIl_Kill_leg.zip" (Clic-droit > ouvrir) sur le bureau
Lance le fichier "Kill_leg.bat" -> "Exécuter"
La fenêtre de l'invite de commande va s'ouvrir et se refermer rapidement, c'est normal.
Vois si ce dossier down vit toujours
Si OUI, relance une recherche avec OAD sur le mot downld
Merci
Al
Bien
Essaie ceci et ensuite vois si ce dossier downld vit toujours :
Télécharge http://cjoint.com/data/iyvrUHUOIl_Kill_leg.zip
Dézipper l'archive "iyvrUHUOIl_Kill_leg.zip" (Clic-droit > ouvrir) sur le bureau
Lance le fichier "Kill_leg.bat" -> "Exécuter"
La fenêtre de l'invite de commande va s'ouvrir et se refermer rapidement, c'est normal.
Vois si ce dossier down vit toujours
Si OUI, relance une recherche avec OAD sur le mot downld
Merci
Al
