Sujet Précédent Sujet Suivant

Wintems hldrrr,srosa hellllllllllllllllllp

Résolu
hebaor Messages postés 118 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

je suis infecté par ces trois virus et impossible de m'en debarraser ,j'ai parcourru les forums et meme ce forum mais je ne parviens pas ni avec killbox otmoveit elbagla comfix . le bleme c'est qu'il bloque tout et impossible d'activer mon antivirus ou ccleaner ou autre

merci d'avance pour votre aide

28 réponses

  • 1
  • 2
Réponse 1 / 28
Utilisateur anonyme
 
Salut

c est : srosa.sys --> le driver de ton infection

recommence l option 2 tu n auras pas cet ecran bleu
1
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hebaor,

fais ce que Chiquitine29 te dis stp et postes le rapport ...
0
Réponse 2 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

Infection par un bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)

2-Télécharges FindyKill de Chiquitine29 :

Fais un clique droit sur le lien et choisis "enregistrer la cible sous ...." , destination le bureau .

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

! Déconnectes toi et fermes toute applications en cours !

--> Dezippes le (= extraire) sur ton bureau .

Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
* branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...

--> Entre dans le dossier " FindyKill "

Double cliques sur " FindyKill.bat " pour lancer l'outil (et pas sur autre chose! Note : le .bat peut ne pas apparaitre).

->choisis l'option 1 . Puis laisses travailler ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
0
Réponse 3 / 28
sebyx Messages postés 243 Statut Membre 26
 
Salut,
Deja, sache que tout antivirus (en ligne ou pas) ne fonctionne pas.
Le mode sans échec non plus.
Si tu as un peu de chance ce programme (http://www.zonavirus.com/datos/descargas/95/elibagla.asp) devrait pouvoir l'enlever et ramener le mode sans échec.
Le mieux serait d'avoir un autre disque dur pour booter dessus et scaner avec un antivirus "standard".

Bonne chance !

Séb
0
Réponse 4 / 28
hebaor Messages postés 118 Statut Membre
 
merci pour votre aide
je fais findykill et ya du monde en virus :(((

C:\WINDOWS\system32\wintems.exe Present!!

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

C:\WINDOWS\system32\drivers\srosa.sys Present!!
C:\WINDOWS\system32\drivers\hldrrr.exe Present!!
"C:\WINDOWS\system32\drivers\downld" Present!!

»»»» Presence des fichiers dans C:\Documents and Settings\Demonn\Application Data

»»»» Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Look 'n' Stop REG_SZ "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
UltraMon REG_SZ "D:\Program Files\UltraMon\UltraMon.exe" /auto
AppleSyncNotifier REG_SZ D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
QuickTime Task REG_SZ "D:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "D:\Program Files\iTunes\iTunesHelper.exe"
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
!AVG Anti-Spyware REG_SZ "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SUPERAntiSpyware REG_SZ D:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

----------- ! Recherche realisée avec success ! -----------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bon ...

j'espère que tu as bien supprimé Elibagla ;)

la suite :

Relances FindyKill :

( Unités externes toujours branchés ...)

-> choisis cette fois-ci l'option 2 .

/!\ il y aura 2 redémarrages !... laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

---> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

0
Réponse 6 / 28
hebaor Messages postés 118 Statut Membre
 
quand je lance l'operation 2 puis confirmer l'ordi redemarre et ecran bleu erreur a cause de srosa .exe
merci pour ta patience
0
Réponse 7 / 28
hebaor Messages postés 118 Statut Membre
 
voila cette fois ça a marché est ce que c propre ?
merci

voila le rapport

--------- FindyKill V2.O55 par Chiquitine29 ---------

[ Suppression effectuée à 22:56:05 | 08/09/2008 ]
[ INSTALL LOCATION : C:\Documents and Settings\Demonn\Bureau\FindyKill\FindyKill\FindyKill.bat ]
[ USER : Demonn | PC : ORDI_FIXE ]
[ BOOT MODE : Normal ]

----------- /!\..... Suppression ...../!\ -----------

»»»» Suppression des fichiers dans C:\WINDOWS

»»»» Suppression des fichiers dans C:\WINDOWS\system32

Supprime ! de C:\WINDOWS\system32\mdelk.exe
Supprime ! de C:\WINDOWS\system32\wintems.exe

»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

Supprime ! de C:\WINDOWS\system32\drivers\srosa.sys
Supprime ! de C:\WINDOWS\system32\drivers\hldrrr.exe
Supprime ! de "C:\WINDOWS\system32\drivers\downld"

»»»» Suppression des fichiers dans C:\Documents and Settings\Demonn\Application Data

---------- /!\..... Second passage ...../!\ ----------

»»»» Suppression des fichiers dans C:

Supprime ! de C:\InfoSat.txt

»»»» Suppression des fichiers dans C:\WINDOWS

»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

»»»» Suppression des fichiers dans C:\WINDOWS\system32

»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

»»»» Suppression des fichiers dans C:\Documents and Settings\Demonn\Application Data

------------ /!\..... Verification...../!\ -------------

»»»» Suppression des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\Demonn\Application Data

»»»» Suppression des clefs du registre..

"HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprime !

»»»» Suppression des clefs du registre effectuée !

»»»» Affichage des fichiers caches réparé !

»»»» Services de securité Windows redemarré !

»»»» Suppression des fichiers temporaires :

Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_d14.dat"
Supprimé ! - "C:\WINDOWS\TEMP\rtdrvmon.exe"
Supprimé ! - "C:\WINDOWS\TEMP\WGAErrLog.txt"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\12300d71e035eec15603a6e4061ca01ePSK_PLUGINS_2"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\avg7inst.log"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\inx5.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\inx6.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\java_install_reg.log"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\MSI167b3.LOG"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\NOD52C0.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\NOD7DB9.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\NODA99C.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\Perflib_Perfdata_884.dat"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\PSSysChk.log"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\SSUPDATE.EXE"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\stadistic.log"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\WcesView.log"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\_PR3A7.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\~DF1948.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\~DF6D4B.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\~DF7089.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\~DF7E44.tmp"
Supprimé ! - "C:\DOCUME~1\Demonn\LOCALS~1\Temp\~DF961D.tmp"

»»»» Autres suppressions :

---------- ! Nettoyage realisé avec succès ! ----------

»»»» Recherche d autres infections :
0
Réponse 8 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ... On poursuit

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- Redémarres ton PC !

3- Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

A- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

B- !! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...

et dis nous comment va le PC , du mieux ?
0
Réponse 9 / 28
hebaor Messages postés 118 Statut Membre
 
voila le rapport
c bcp mieux G R A N D M E R C I :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:00, on 08/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
D:\Program Files\UltraMon\UltraMon.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\ESET\ESET Smart Security\ekrn.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\ESET\ESET Smart Security\egui.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\program files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet XP-Demonn
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\program files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\program files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [UltraMon] "D:\Program Files\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Mozilla Firefox.lnk = D:\program files\Mozilla Firefox\firefox.exe
O8 - Extra context menu item: Barre RoboForm - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - D:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCA30D4-E8DC-47A5-9B6D-952025A9846E}: NameServer = 212.27.54.252,212.27.53.252
O20 - Winlogon Notify: !SASWinLogon - D:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server (winvnc) - TightVNC Group - D:\Program Files\TightVNC\WinVNC.exe
0
Réponse 10 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ok ... il y aura quelques mise à jours à faire ...

Fais ceci dans un premier temps :

Télécharges GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnectes toi et fermes tes application en cours !!

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvres le dossier Genproc :
double-cliques sur GenProc.bat et laisses faire ...

Une fois terminé, postes le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
0
Réponse 11 / 28
hebaor Messages postés 118 Statut Membre
 
le voilou

Rapport GenProc 2.025 [1] effectué le 08/09/2008 à 23:37:47,68 - Windows XP

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

- Combofix (sUBs) : par clic droit de souris sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe sélectionne "enregistrer sous" et nomme-le en combo-fix.exe. Double-clique ensuite sur combo-fix.exe, et appuie sur la touche Y (Yes) pour démarrer le scan et patiente.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste les trois rapports suivants :
- le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\
- le contenu du rapport qui se trouve dans C:\Combofix.txt
- un nouveau rapport GenProc.
0
Réponse 12 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bizard ... Genproc réagit comme ci le Bagle était encore là ... on va vérifier ...

fais exactement ceci :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...
0
Réponse 13 / 28
hebaor Messages postés 118 Statut Membre
 
la suite j'espere que c mieux encore merci c tres sympa de me sauver :)

ComboFix 08-09-05.09 - Demonn 2008-09-08 23:50:25.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.668 [GMT 2:00]
Endroit: C:\Documents and Settings\Demonn\Bureau\CFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\WINDOWS\system32\drivers\downld

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-08 to 2008-09-08 ))))))))))))))))))))))))))))))))))))
.

2008-09-08 23:18 . 2008-09-08 23:18 <REP> d-------- D:\program files\Trend Micro
2008-09-08 23:05 . 2008-09-08 23:05 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\ESET
2008-09-08 20:14 . 2008-09-08 20:14 <REP> d-------- D:\program files\Safer Networking
2008-09-08 20:12 . 2008-09-08 20:12 <REP> d-------- D:\program files\Spybot - Search & Destroy
2008-09-08 18:49 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-09-08 18:38 . 2006-09-05 18:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-09-08 18:16 . 2008-09-08 18:16 <REP> d-------- C:\_OTMoveIt
2008-09-08 13:32 . 2008-09-08 13:32 <REP> d-------- D:\program files\Panda Security
2008-09-08 12:51 . 2008-09-08 12:53 <REP> d-------- D:\program files\EsetOnlineScanner
2008-09-08 11:50 . 2008-09-08 22:39 <REP> d-------- C:\!KillBox
2008-09-08 11:24 . 2008-09-08 11:24 <REP> d-------- D:\program files\CCleaner
2008-09-08 11:10 . 2008-01-30 12:38 34,312 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-09-08 11:00 . 2008-09-08 11:00 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-08 10:35 . 2008-09-08 10:35 <REP> d-------- D:\program files\ToneFXsCreator
2008-09-08 10:35 . 2008-09-08 10:50 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\ToneFXsCreator
2008-09-05 09:47 . 2008-09-05 09:47 <REP> d-------- D:\program files\AutoCollage 2008
2008-09-04 09:49 . 2008-09-04 09:49 <REP> d-------- D:\program files\winpwn-2.5
2008-09-02 20:35 . 2008-09-02 20:35 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\Samsung
2008-09-02 20:34 . 2008-09-02 20:34 <REP> d-------- D:\program files\DIFX
2008-09-02 20:34 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-09-02 20:33 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-09-02 20:30 . 2008-09-02 20:30 <REP> d-------- D:\program files\Samsung
2008-09-02 20:30 . 2008-09-02 20:30 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-09-02 20:30 . 2008-02-22 15:33 114,304 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-09-02 20:30 . 2008-02-22 15:33 87,936 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-09-02 20:30 . 2008-02-22 15:33 14,976 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-09-02 20:30 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-09-02 20:29 . 2008-09-02 20:29 <REP> d-------- D:\program files\Fichiers communs\Adobe
2008-09-01 10:38 . 2008-09-01 10:38 <REP> d-------- D:\program files\Jugaari
2008-09-01 10:32 . 2008-09-01 10:34 <REP> d-------- D:\program files\TightVNC
2008-08-31 14:04 . 2008-08-31 14:04 20,480 --a------ C:\WINDOWS\REGCARDS.OLD
2008-08-29 01:11 . 2008-08-29 01:11 143 --a------ C:\WINDOWS\NAVIGMA.INI
2008-08-28 12:14 . 2008-08-28 12:14 <REP> d-------- D:\program files\FastStone Image Viewer
2008-08-27 18:49 . 2008-08-27 18:49 <REP> d-------- C:\Documents and Settings\Demonn\Downloads
2008-08-27 18:49 . 2008-08-27 18:50 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\NewsLeecher
2008-08-25 13:28 . 2008-09-07 19:15 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\iPhoneRingToneMaker
2008-08-24 14:12 . 2008-08-24 14:12 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\FastStone
2008-08-21 11:19 . 2008-08-21 11:19 <REP> d-------- D:\program files\Copy Cat
2008-08-20 17:39 . 2008-08-20 17:39 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\Inkscape
2008-08-20 14:41 . 2008-08-20 14:47 <REP> d-------- D:\program files\Architecture et construction 3D 2004
2008-08-20 14:06 . 2003-05-28 01:11 110,592 --a------ C:\WINDOWS\system32\tsccvid.dll
2008-08-20 12:33 . 2008-08-20 12:33 8,192 --ahs---- C:\WINDOWS\o2cLicStore.bin
2008-08-19 11:57 . 2008-08-19 11:57 <REP> d-------- D:\program files\hager shema
2008-08-19 11:57 . 2002-01-05 14:10 61,440 --a------ C:\WINDOWS\system32\mfc70loc.dll
2008-08-19 11:56 . 2008-08-19 11:56 <REP> d-------- D:\program files\hager
2008-08-19 11:56 . 2003-09-09 11:21 1,142,784 --a------ C:\WINDOWS\system32\TTF16.ocx
2008-08-19 11:56 . 2002-01-05 14:48 974,848 --a------ C:\WINDOWS\system32\MFC70.DLL
2008-08-19 11:56 . 2003-09-09 11:21 750,592 --a------ C:\WINDOWS\system32\MDraw30.ocx
2008-08-19 11:56 . 2002-01-05 13:40 487,424 --a------ C:\WINDOWS\system32\MSVCP70.DLL
2008-08-19 11:56 . 2002-01-05 13:37 344,064 --a------ C:\WINDOWS\system32\MSVCR70.DLL
2008-08-19 11:56 . 2002-01-05 12:38 54,784 --a------ C:\WINDOWS\system32\msvci70.dll
2008-08-19 11:55 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-08-12 23:24 . 2008-08-20 22:41 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\gtk-2.0
2008-08-12 23:19 . 2008-08-12 23:19 <REP> d-------- C:\Documents and Settings\Demonn\.thumbnails
2008-08-11 17:17 . 2008-08-11 17:17 <REP> d-------- D:\program files\iTunes
2008-08-11 17:17 . 2008-08-11 17:17 <REP> d-------- D:\program files\iPod
2008-08-11 12:01 . 2008-08-11 12:02 <REP> d-------- C:\WINDOWS\Downloaded Installations
2008-08-11 11:52 . 2007-10-07 11:27 608,448 --a------ C:\WINDOWS\system32\COMCTL32.OCX
2008-08-11 11:52 . 2007-10-07 11:27 40,960 --a------ C:\WINDOWS\system32\SSUBTMR6.DLL
2008-08-11 11:20 . 2004-09-03 00:00 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-08-11 11:20 . 2007-10-07 11:27 10,752 --a------ C:\WINDOWS\system32\aamd532.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-08 18:19 --------- d-----w D:\Program Files\Mozilla Thunderbird
2008-09-08 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-08 09:41 --------- d-----w D:\Program Files\SUPERAntiSpyware
2008-09-08 07:18 --------- d-----w D:\Program Files\ESET
2008-09-08 07:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET
2008-09-02 18:33 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-08-31 18:30 --------- d-----w C:\Documents and Settings\Demonn\Application Data\cmw
2008-08-28 09:10 --------- d-----w D:\Program Files\IKEA HomePlanner
2008-08-28 09:10 --------- d-----w D:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-27 16:48 --------- d-----w C:\Documents and Settings\Demonn\Application Data\BitTorrent
2008-08-27 13:36 --------- d-----w C:\Documents and Settings\Demonn\Application Data\dvdcss
2008-08-12 19:30 --------- d-----w C:\Documents and Settings\Demonn\Application Data\Apple Computer
2008-08-08 07:22 --------- d-----w D:\Program Files\WinSCP
2008-08-06 13:29 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-08-06 13:27 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-08-01 12:24 --------- d-----w D:\Program Files\GIMP-2.0
2008-07-29 11:35 --------- d-----w C:\Documents and Settings\eMule_Secure\Application Data\Apple Computer
2008-07-28 19:44 --------- d-----w C:\Documents and Settings\Demonn\Application Data\eTeks
2008-07-28 12:31 --------- d-----w D:\Program Files\Sweet Home 3D
2008-07-28 09:59 --------- d-----w D:\Program Files\Paint.NET
2008-07-24 22:49 --------- d-----w D:\Program Files\Google
2008-07-23 21:55 --------- d-----w D:\Program Files\The GodFather
2008-07-23 17:31 --------- d-----w D:\Program Files\Lavasoft
2008-07-23 17:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-23 13:31 --------- d-----w D:\Program Files\Microsoft ActiveSync
2008-07-23 11:00 --------- d-----w D:\Program Files\CoPilot
2008-07-23 10:00 --------- d-----w D:\Program Files\PuTTY
2008-07-18 17:26 --------- d-----w D:\Program Files\Coolplayer
2008-07-18 08:52 --------- d-----w D:\Program Files\Screamer Radio
2008-07-17 19:07 --------- d-----w D:\Program Files\ABBYY FineReader 5.0 Sprint
2008-07-17 19:06 --------- d-----w D:\Program Files\Lexmark 1200 Series
2008-07-16 22:23 --------- d-----w D:\Program Files\Picasa2
2008-07-15 14:23 --------- d-----w C:\Documents and Settings\Demonn\Application Data\Computer Aces
2008-07-15 13:37 --------- d-----w D:\Program Files\QuickTime
2008-07-15 07:37 --------- d-----w D:\Program Files\Opera
1995-09-20 13:16 456,976 ----a-w D:\Program Files\Fichiers communs\dao3032.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2008-05-27 516164]
"UltraMon"="D:\Program Files\UltraMon\UltraMon.exe" [2006-10-12 304640]
"AppleSyncNotifier"="D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2005-06-13 831496]
"QuickTime Task"="D:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"egui"="D:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-03-13 1443072]

C:\Documents and Settings\Demonn\Menu D‚marrer\Programmes\D‚marrage\
Mozilla Firefox.lnk - D:\program files\Mozilla Firefox\firefox.exe [2008-04-10 307712]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 D:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"F:\\eMule\\emule.exe"=
"D:\\program files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\program files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\program files\\Bonjour\\mDNSResponder.exe"=
"D:\program files\Microsoft ActiveSync\rapimgr.exe"= D:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\program files\Microsoft ActiveSync\wcescomm.exe"= D:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\program files\Microsoft ActiveSync\WCESMgr.exe"= D:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"F:\\BitTorrent\\bittorrent.exe"=
"D:\\program files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2008-05-27 77184]
R2 UltraMonUtility;UltraMon Utility Driver;D:\Program Files\Fichiers communs\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584]
S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2001-08-24 3584]

*Newly Created Service* - GUSVC
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Demonn\Application Data\Mozilla\Firefox\Profiles\lnr0e3rr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.netvibes.com/#General|https://www.boursier.com/|https://www.capitol.fr/index.htm
FF -: plugin - C:\Documents and Settings\Demonn\Local Settings\Application Data\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - D:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - D:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - D:\Program Files\Opera\program\plugins\NPO2C.DLL
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 23:51:34
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-08 23:52:47
ComboFix-quarantined-files.txt 2008-09-08 21:52:41

Pre-Run: 43,604,013,056 octets libres
Post-Run: 43,599,654,912 octets libres

207
0
Réponse 14 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
la suite :

souligne>1-Crées un doc texte sur ton bureau </souligne>:
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
C:\WINDOWS\NAVIGMA.INI

DirLook::
C:\Documents and Settings\Demonn\Downloads

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : postes le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 15 / 28
hebaor Messages postés 118 Statut Membre
 
j'ai effectué la manip telle decrite et apres avoir glissé le fichier texte sur comfix tout c fait tout seul sans que je fasse option 1

ComboFix 08-09-05.09 - Demonn 2008-09-09 0:17:12.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.642 [GMT 2:00]
Endroit: C:\Documents and Settings\Demonn\Bureau\CFix.exe
Command switches used :: C:\Documents and Settings\Demonn\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\NAVIGMA.INI

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-08 to 2008-09-08 ))))))))))))))))))))))))))))))))))))
.

2008-09-08 23:18 . 2008-09-08 23:18 <REP> d-------- D:\program files\Trend Micro
2008-09-08 23:05 . 2008-09-08 23:05 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\ESET
2008-09-08 20:12 . 2008-09-08 20:12 <REP> d-------- D:\program files\Spybot - Search & Destroy
2008-09-08 18:49 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-09-08 18:38 . 2006-09-05 18:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-09-08 18:16 . 2008-09-08 18:16 <REP> d-------- C:\_OTMoveIt
2008-09-08 11:50 . 2008-09-08 22:39 <REP> d-------- C:\!KillBox
2008-09-08 11:24 . 2008-09-08 11:24 <REP> d-------- D:\program files\CCleaner
2008-09-08 11:10 . 2008-01-30 12:38 34,312 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-09-08 11:00 . 2008-09-08 11:00 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-08 10:35 . 2008-09-08 10:35 <REP> d-------- D:\program files\ToneFXsCreator
2008-09-08 10:35 . 2008-09-08 10:50 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\ToneFXsCreator
2008-09-05 09:47 . 2008-09-05 09:47 <REP> d-------- D:\program files\AutoCollage 2008
2008-09-04 09:49 . 2008-09-04 09:49 <REP> d-------- D:\program files\winpwn-2.5
2008-09-02 20:35 . 2008-09-02 20:35 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\Samsung
2008-09-02 20:34 . 2008-09-02 20:34 <REP> d-------- D:\program files\DIFX
2008-09-02 20:34 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-09-02 20:33 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-09-02 20:30 . 2008-09-02 20:30 <REP> d-------- D:\program files\Samsung
2008-09-02 20:30 . 2008-09-02 20:30 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-09-02 20:30 . 2008-02-22 15:33 114,304 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-09-02 20:30 . 2008-02-22 15:33 87,936 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-09-02 20:30 . 2008-02-22 15:33 14,976 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-09-02 20:30 . 2008-02-22 15:33 12,160 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-09-02 20:30 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-09-02 20:29 . 2008-09-02 20:29 <REP> d-------- D:\program files\Fichiers communs\Adobe
2008-09-01 10:38 . 2008-09-01 10:38 <REP> d-------- D:\program files\Jugaari
2008-09-01 10:32 . 2008-09-01 10:34 <REP> d-------- D:\program files\TightVNC
2008-08-31 14:04 . 2008-08-31 14:04 20,480 --a------ C:\WINDOWS\REGCARDS.OLD
2008-08-28 12:14 . 2008-08-28 12:14 <REP> d-------- D:\program files\FastStone Image Viewer
2008-08-27 18:49 . 2008-08-27 18:49 <REP> d-------- C:\Documents and Settings\Demonn\Downloads
2008-08-27 18:49 . 2008-08-27 18:50 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\NewsLeecher
2008-08-25 13:28 . 2008-09-07 19:15 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\iPhoneRingToneMaker
2008-08-24 14:12 . 2008-08-24 14:12 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\FastStone
2008-08-21 11:19 . 2008-08-21 11:19 <REP> d-------- D:\program files\Copy Cat
2008-08-20 17:39 . 2008-08-20 17:39 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\Inkscape
2008-08-20 14:41 . 2008-08-20 14:47 <REP> d-------- D:\program files\Architecture et construction 3D 2004
2008-08-20 14:06 . 2003-05-28 01:11 110,592 --a------ C:\WINDOWS\system32\tsccvid.dll
2008-08-20 12:33 . 2008-08-20 12:33 8,192 --ahs---- C:\WINDOWS\o2cLicStore.bin
2008-08-19 11:57 . 2008-08-19 11:57 <REP> d-------- D:\program files\hager shema
2008-08-19 11:57 . 2002-01-05 14:10 61,440 --a------ C:\WINDOWS\system32\mfc70loc.dll
2008-08-19 11:56 . 2008-08-19 11:56 <REP> d-------- D:\program files\hager
2008-08-19 11:56 . 2003-09-09 11:21 1,142,784 --a------ C:\WINDOWS\system32\TTF16.ocx
2008-08-19 11:56 . 2002-01-05 14:48 974,848 --a------ C:\WINDOWS\system32\MFC70.DLL
2008-08-19 11:56 . 2003-09-09 11:21 750,592 --a------ C:\WINDOWS\system32\MDraw30.ocx
2008-08-19 11:56 . 2002-01-05 13:40 487,424 --a------ C:\WINDOWS\system32\MSVCP70.DLL
2008-08-19 11:56 . 2002-01-05 13:37 344,064 --a------ C:\WINDOWS\system32\MSVCR70.DLL
2008-08-19 11:56 . 2002-01-05 12:38 54,784 --a------ C:\WINDOWS\system32\msvci70.dll
2008-08-19 11:55 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-08-12 23:24 . 2008-08-20 22:41 <REP> d-------- C:\Documents and Settings\Demonn\Application Data\gtk-2.0
2008-08-12 23:19 . 2008-08-12 23:19 <REP> d-------- C:\Documents and Settings\Demonn\.thumbnails
2008-08-11 17:17 . 2008-08-11 17:17 <REP> d-------- D:\program files\iTunes
2008-08-11 17:17 . 2008-08-11 17:17 <REP> d-------- D:\program files\iPod
2008-08-11 12:01 . 2008-08-11 12:02 <REP> d-------- C:\WINDOWS\Downloaded Installations
2008-08-11 11:52 . 2007-10-07 11:27 608,448 --a------ C:\WINDOWS\system32\COMCTL32.OCX
2008-08-11 11:52 . 2007-10-07 11:27 40,960 --a------ C:\WINDOWS\system32\SSUBTMR6.DLL
2008-08-11 11:20 . 2004-09-03 00:00 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-08-11 11:20 . 2007-10-07 11:27 10,752 --a------ C:\WINDOWS\system32\aamd532.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-08 22:02 --------- d-----w D:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-08 22:02 --------- d-----w C:\Documents and Settings\Demonn\Application Data\SUPERAntiSpyware.com
2008-09-08 18:19 --------- d-----w D:\Program Files\Mozilla Thunderbird
2008-09-08 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-08 07:18 --------- d-----w D:\Program Files\ESET
2008-09-08 07:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET
2008-09-02 18:33 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-08-31 18:30 --------- d-----w C:\Documents and Settings\Demonn\Application Data\cmw
2008-08-27 16:48 --------- d-----w C:\Documents and Settings\Demonn\Application Data\BitTorrent
2008-08-27 13:36 --------- d-----w C:\Documents and Settings\Demonn\Application Data\dvdcss
2008-08-12 19:30 --------- d-----w C:\Documents and Settings\Demonn\Application Data\Apple Computer
2008-08-08 07:22 --------- d-----w D:\Program Files\WinSCP
2008-08-06 13:29 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-08-06 13:27 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-08-01 12:24 --------- d-----w D:\Program Files\GIMP-2.0
2008-07-29 11:35 --------- d-----w C:\Documents and Settings\eMule_Secure\Application Data\Apple Computer
2008-07-28 19:44 --------- d-----w C:\Documents and Settings\Demonn\Application Data\eTeks
2008-07-28 12:31 --------- d-----w D:\Program Files\Sweet Home 3D
2008-07-28 09:59 --------- d-----w D:\Program Files\Paint.NET
2008-07-24 22:49 --------- d-----w D:\Program Files\Google
2008-07-23 21:55 --------- d-----w D:\Program Files\The GodFather
2008-07-23 17:31 --------- d-----w D:\Program Files\Lavasoft
2008-07-23 17:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-23 13:31 --------- d-----w D:\Program Files\Microsoft ActiveSync
2008-07-23 11:00 --------- d-----w D:\Program Files\CoPilot
2008-07-23 10:00 --------- d-----w D:\Program Files\PuTTY
2008-07-18 17:26 --------- d-----w D:\Program Files\Coolplayer
2008-07-18 08:52 --------- d-----w D:\Program Files\Screamer Radio
2008-07-17 19:07 --------- d-----w D:\Program Files\ABBYY FineReader 5.0 Sprint
2008-07-17 19:06 --------- d-----w D:\Program Files\Lexmark 1200 Series
2008-07-16 22:23 --------- d-----w D:\Program Files\Picasa2
2008-07-15 14:23 --------- d-----w C:\Documents and Settings\Demonn\Application Data\Computer Aces
2008-07-15 13:37 --------- d-----w D:\Program Files\QuickTime
2008-07-15 07:37 --------- d-----w D:\Program Files\Opera
1995-09-20 13:16 456,976 ----a-w D:\Program Files\Fichiers communs\dao3032.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Documents and Settings\Demonn\Downloads ----

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2008-05-27 516164]
"UltraMon"="D:\Program Files\UltraMon\UltraMon.exe" [2006-10-12 304640]
"AppleSyncNotifier"="D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2005-06-13 831496]
"QuickTime Task"="D:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"egui"="D:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-03-13 1443072]

C:\Documents and Settings\Demonn\Menu D‚marrer\Programmes\D‚marrage\
Mozilla Firefox.lnk - D:\program files\Mozilla Firefox\firefox.exe [2008-04-10 307712]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"F:\\eMule\\emule.exe"=
"D:\\program files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\program files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\program files\\Bonjour\\mDNSResponder.exe"=
"D:\program files\Microsoft ActiveSync\rapimgr.exe"= D:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\program files\Microsoft ActiveSync\wcescomm.exe"= D:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\program files\Microsoft ActiveSync\WCESMgr.exe"= D:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"F:\\BitTorrent\\bittorrent.exe"=
"D:\\program files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2008-05-27 77184]
R2 UltraMonUtility;UltraMon Utility Driver;D:\Program Files\Fichiers communs\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584]
S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2001-08-24 3584]

*Newly Created Service* - CATCHME
*Newly Created Service* - GUSVC
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 00:18:07
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> D:\Program Files\SUPERAntiSpyware\SASWINLO.dll
.
Temps d'accomplissement: 2008-09-09 0:18:51
ComboFix-quarantined-files.txt 2008-09-08 22:18:47
ComboFix2.txt 2008-09-08 21:52:48

Pre-Run: 43,593,052,160 octets libres
Post-Run: 43,581,235,200 octets libres

196
0
Réponse 16 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

un petite vérif encore :

souligne>Télécharges FindB de Chiquitine29 sur ton bureau </souligne>:

--> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe

* Double clic sur FindB.exe

* Post le rapport FindB.txt qui apparaitra dans ton prochain message ...

(note : le rapport FindB.txt est sauvegardé a la racine du disque )
0
Réponse 17 / 28
hebaor Messages postés 118 Statut Membre
 
ça a l'air mieux non? :))

+- Recherche dans : C:\Documents and Settings\Demonn\Application Data :

+- Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Look 'n' Stop REG_SZ "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
UltraMon REG_SZ "D:\Program Files\UltraMon\UltraMon.exe" /auto
AppleSyncNotifier REG_SZ D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
QuickTime Task REG_SZ "D:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "D:\Program Files\iTunes\iTunesHelper.exe"
egui REG_SZ "D:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

+- Registre, recherche Srosa :

+- Recherche d autres infections :

+- Recherche terminee !

+- Execute le : 09/09/2008 a 0:31:39,70
0
Réponse 18 / 28
hebaor Messages postés 118 Statut Membre
 
est ce que ces outils peuvent servir a verifier la presence d'autres virus ?
0
Réponse 19 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
est ce que ces outils peuvent servir a verifier la presence d'autres virus ?
--> non ... ce sont des outils spécifiques ... ne pas utiliser sans la présence de quelqu'un de qualifié ( tu peux planter ton PC plus vite que tu ne le penses ;) )

la suite dans l'ordre :

1- Supprimes le dossier FindyKill et son contenu , ainsi que FindB.exe ( directe à la poubelle ! )

2-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( gardes CCleaner et Malwarebytes : très utiles ! )

3- Refais un coup de CCleaner ( registre compris ) .

4- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le momment )

5- Purge de la restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC

6- Fais ce scan en ligne pour vérifier :

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...

S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

0
Réponse 20 / 28
hebaor Messages postés 118 Statut Membre
 
reponse kapersky

L'analyse est terminée.
Pas de logiciel malveillant détecté. Les sections analysées sont SAINES.

Le rapport est vide.
Note : le logiciel gratuit Kaspersky On-line Scanner n’offre pas une protection globale et ne peut empêcher les infections futures. Il ne détecte que les codes malveillants qui ont déjà pénétré dans vos disques de stockage. Nous vous conseillons vivement d’utiliser entièrement solution antivirus opérationnel afin de protéger votre ordinateur en permanence

ça a l'air propre :)

merci bcp ske69 et felicitation c un tuto clair et efficace pour erradiquer ce virus redoutable

Bonne nuit ;)
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re, on n'a pas encor finit ! ^^


pour demain :

Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour".
( puis désinstalles les versions antérieurs via "paneau de configuration" et "ajout/suppression de prg" ...)
-> si tu ne trouves pas l' icône Java :
Désinstalles les version antérieurs, puis télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment


*Internet Exploreur :
Même si tu utilises un autre Navigateur , il faut tenir IE à jour ! ( sinon faille de sécurité ) .
->Télécharges le ici : http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer
ou ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

->Avant de lancer l'installe d' IE, c'est important : désactives tes défences et déconnecte toi d'internet !

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405



--> une fois ceci fais , postes moi un nouvel hijackthis pour contrôler et attends la suite ...


Bonne nuit ;)
0