Win32 beagle-AAW

Résolu
maurice63 -  
 Utilisateur anonyme -
Bonjour tous,

Voilà comme je le lis sur ce forum je me suis fais prendre par le virus beagle_AWW.

Avast le trouver au scan de démarrage dans le fichier c:\....restore

Ensuite il me trouve le fameux hldrrr.exe que je mets en quarantaine

Tout semble fonctionner sauf que ma configuration connexion sans fil ne marche plus.

Je suis donc actuellement en lignbe sur un second pc.

Merci beaucoup de votre aide .
Configuration: Windows XP
Internet Explorer 6.0

8 réponses

  1. maurice63
     
    et voici le second txt

    ----------------- FindyKill V4.005 ------------------

    * User : Maurice - PORTABLEMAURICE
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 11/10/08 par Chiquitine29
    * Suppression effectuée à 17:45:01 le 12/10/2008
    * Windows XP - Internet Explorer 7.0.5730.11

    ((((((((((((((( *** Suppression *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Suppression des fichiers dans C:

    »»»» Suppression des fichiers dans C:\WINDOWS

    »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

    Supprimé ! - C:\WINDOWS\Prefetch\CELESTIA-WIN32-1.5.1.EXE-10C0D690.pf
    Supprimé ! - C:\WINDOWS\Prefetch\CELESTIA-WIN32-1.5.1.EXE.TMP-2118F352.pf
    Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\UNREGMP2.EXE-0CFB0619.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6A09524A.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4524B90F.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4F237B6B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D99E3D1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-58047B50.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-61CC0D7C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42E9CD1B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-1CE22EA3.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5A86C785.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5023DD43.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6A8E74C2.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6BFA9DB0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3F9F101F.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3C0B20C8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-44471177.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-50BDE640.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6FFBEADB.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-66068AB4.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6FF2844A.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6D2BFEB4.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6CB5931B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-514D2A83.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5771684D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4FF9832D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\LA_CAVE_DU_SOMMELIER_1.27.EXE-1709FC05.pf
    Supprimé ! - C:\WINDOWS\Prefetch\SETUP50.EXE-2911CBB9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DWTRIG20.EXE-1F73F0CD.pf
    Supprimé ! - C:\WINDOWS\Prefetch\HLDRRR.EXE-0E6917FB.pf

    »»»» Suppression des fichiers dans C:\WINDOWS\system32

    »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

    Supprimé ! - C:\WINDOWS\system32\drivers\hldrrr.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\317453.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\320718.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\351578.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\449218.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\455093.exe
    Supprimé ! - "C:\WINDOWS\system32\drivers\downld"

    »»»» Suppression des fichiers dans C:\Documents and Settings\Maurice\Application Data

    »»»» Suppression des fichiers dans C:\DOCUME~1\Maurice\LOCALS~1\Temp

    --------------- [ Registre / Clés infecteuses ] ----------------

    Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
    Supprimé ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\hldrrr
    Supprimé ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\nideiect

    -> Certaines clés ont été supprimées au premier reboot ...

    --------------- [ Etat / Redémarage des services ] ----------------

    +- Mode sans echec restauré !

    +- Affichage des fichiers cachés réparé !

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]

    Ndisuio - Type de démarrage = 2

    EapHost - Type de démarrage = 2

    Wlansvc - Type de démarrage = 2

    /!\ Ip6Fw - Type de démarrage = 4

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Nettoyage des supports amovibles ] ----------------

    +- Informations :

    C: - Lecteur fixe

    D: - Lecteur fixe

    +- Suppression des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\open\Command

    --------------- [ Recherche Cracks / Keygen ] ----------------

    ---------------- ! Fin du rapport ! ------------------
    0
  2. Utilisateur anonyme
     
    Salut,

    Telecharge FindyKill sur ton bureau :

    --> Lance l installation avec les parametres par default

    --> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci FindyKill sur ton bureau

    --> Au menu principal,choisi l option 1 (Recherche)

    --> Post le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    -1
    1. maurice63
       
      Salut,

      D'abord merci pour ce début d'aide

      J'ai téléchargé sur une clé avec mon second pc mais entre temps le premier est reparti en scan demarrage avec avast

      dès que pret je post le fichier

      a+
      0
  3. Utilisateur anonyme
     
    OK

    @+ mé avast ne fera pas grand chose ...
    -1
    1. maurice63
       
      Me revoila,


      et voici le .txt



      ----------------- FindyKill V4.005 ------------------

      * User : Maurice - PORTABLEMAURICE
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 11/10/08 par Chiquitine29
      * Recherche effectuée à 17:26:34 le 12/10/2008
      * Windows XP - Internet Explorer 7.0.5730.11

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Acer\Empowering Technology\admServ.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      C:\Program Files\Acer\Acer Arcade\PCMService.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\acer\Empowering Technology\ePower\epm-dm.exe
      C:\PROGRA~1\LAUNCH~1\LManager.exe
      C:\Acer\Empowering Technology\admtray.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Microsoft ActiveSync\wcescomm.exe
      C:\WINDOWS\system32\drivers\hldrrr.exe
      C:\documents and settings\maurice\local settings\application data\sekukqq.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\PROGRA~1\MI3AA1~1\rapimgr.exe
      C:\WINDOWS\system32\igfxsrvc.exe

      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:


      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0E6917FB.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

      Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - "C:\WINDOWS\system32\drivers\downld"
      Present ! - C:\WINDOWS\system32\drivers\downld\317453.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\455093.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\320718.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\351578.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\449218.exe

      »»»» Presence des fichiers dans C:\Documents and Settings\Maurice\Application Data


      »»»» Presence des fichiers dans C:\DOCUME~1\Maurice\LOCALS~1\Temp


      --------------- [ Registre / Startup ] ----------------


      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
      Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
      Raccourci vers la page des propriétés de High Definition Audio REG_SZ HDAShCut.exe
      AzMixerSel REG_SZ C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
      SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      MSPY2002 REG_SZ C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      PCMService REG_SZ "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
      ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      RTHDCPL REG_SZ RTHDCPL.EXE
      Alcmtr REG_SZ ALCMTR.EXE
      eDataSecurity Loader REG_SZ C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      EPM-DM REG_SZ c:\acer\Empowering Technology\ePower\epm-dm.exe
      Acer ePower Management REG_SZ C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
      LManager REG_SZ C:\PROGRA~1\LAUNCH~1\LManager.exe
      eRecoveryService REG_SZ C:\Acer\Empowering Technology\eRecovery\Monitor.exe
      ADMTray.exe REG_SZ "C:\Acer\Empowering Technology\admtray.exe"
      SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      !AVG Anti-Spyware REG_SZ "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      QuickTime Task REG_SZ "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
      iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
      H/PC Connection Agent REG_SZ "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
      updateMgr REG_SZ "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
      drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      sekukqq REG_SZ "c:\documents and settings\maurice\local settings\application data\sekukqq.exe" sekukqq

      --------------- [ Registre / Clés infecteuses ] ----------------


      Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\hldrrr
      Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\nideiect
      Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\bisoft
      Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
      Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
      Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
      Présent ! - HKEY_CURRENT_USER\Software\bisoft
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe

      --------------- [ Etat / Services ] ----------------


      +- Services : [ Auto=2 Demande=3 Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      EapHost - Type de démarrage = 3

      /!\ Ip6Fw - Type de démarrage = 4

      /!\ SharedAccess - Type de démarrage = 4

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4



      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Lecteur fixeD: - Lecteur fixeF: - Lecteur amovible
      +- Contenu de l'autorun : F:\autorun.inf

      [AutoRun]
      open=nideiect.com
      ;shell\open=Open(&O)
      shell\open\Command=nideiect.com
      shell\open\Default=1
      ;shell\explore=Manager(&X)
      shell\explore\Command=nideiect.com


      +- presence des fichiers :

      Présent ! - F:\autorun.inf
      Présent ! - F:\nideiect.com


      --------------- [ Registre / Moutpoint2 ] ----------------

      Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\AutoRun\command
      Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\explore\Command
      Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\open\Command


      ------------------- ! Fin du rapport ! --------------------





      Je reste à ta dispo pour la suite
      0
    2. maurice63
       
      Me revoila,


      et voici le .txt



      ----------------- FindyKill V4.005 ------------------

      * User : Maurice - PORTABLEMAURICE
      * Emplacement : C:\Program Files\FindyKill
      * Outils Mis a jours le 11/10/08 par Chiquitine29
      * Recherche effectuée à 17:26:34 le 12/10/2008
      * Windows XP - Internet Explorer 7.0.5730.11

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Acer\Empowering Technology\admServ.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      C:\Program Files\Acer\Acer Arcade\PCMService.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\acer\Empowering Technology\ePower\epm-dm.exe
      C:\PROGRA~1\LAUNCH~1\LManager.exe
      C:\Acer\Empowering Technology\admtray.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Microsoft ActiveSync\wcescomm.exe
      C:\WINDOWS\system32\drivers\hldrrr.exe
      C:\documents and settings\maurice\local settings\application data\sekukqq.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\PROGRA~1\MI3AA1~1\rapimgr.exe
      C:\WINDOWS\system32\igfxsrvc.exe

      --------------- [ Fichiers/Dossiers infectieux ] ----------------


      »»»» Presence des fichiers dans C:


      »»»» Presence des fichiers dans C:\WINDOWS


      »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

      Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0E6917FB.pf

      »»»» Presence des fichiers dans C:\WINDOWS\system32


      »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

      Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - "C:\WINDOWS\system32\drivers\downld"
      Present ! - C:\WINDOWS\system32\drivers\downld\317453.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\455093.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\320718.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\351578.exe
      Present ! - C:\WINDOWS\system32\drivers\downld\449218.exe

      »»»» Presence des fichiers dans C:\Documents and Settings\Maurice\Application Data


      »»»» Presence des fichiers dans C:\DOCUME~1\Maurice\LOCALS~1\Temp


      --------------- [ Registre / Startup ] ----------------


      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
      Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
      Raccourci vers la page des propriétés de High Definition Audio REG_SZ HDAShCut.exe
      AzMixerSel REG_SZ C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
      SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      MSPY2002 REG_SZ C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      PCMService REG_SZ "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
      ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      RTHDCPL REG_SZ RTHDCPL.EXE
      Alcmtr REG_SZ ALCMTR.EXE
      eDataSecurity Loader REG_SZ C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      EPM-DM REG_SZ c:\acer\Empowering Technology\ePower\epm-dm.exe
      Acer ePower Management REG_SZ C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
      LManager REG_SZ C:\PROGRA~1\LAUNCH~1\LManager.exe
      eRecoveryService REG_SZ C:\Acer\Empowering Technology\eRecovery\Monitor.exe
      ADMTray.exe REG_SZ "C:\Acer\Empowering Technology\admtray.exe"
      SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      !AVG Anti-Spyware REG_SZ "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      QuickTime Task REG_SZ "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
      iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
      H/PC Connection Agent REG_SZ "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
      updateMgr REG_SZ "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
      drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      sekukqq REG_SZ "c:\documents and settings\maurice\local settings\application data\sekukqq.exe" sekukqq

      --------------- [ Registre / Clés infecteuses ] ----------------


      Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\hldrrr
      Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\nideiect
      Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\bisoft
      Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
      Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
      Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
      Présent ! - HKEY_CURRENT_USER\Software\bisoft
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
      Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe

      --------------- [ Etat / Services ] ----------------


      +- Services : [ Auto=2 Demande=3 Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      EapHost - Type de démarrage = 3

      /!\ Ip6Fw - Type de démarrage = 4

      /!\ SharedAccess - Type de démarrage = 4

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4



      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Lecteur fixeD: - Lecteur fixeF: - Lecteur amovible
      +- Contenu de l'autorun : F:\autorun.inf

      [AutoRun]
      open=nideiect.com
      ;shell\open=Open(&O)
      shell\open\Command=nideiect.com
      shell\open\Default=1
      ;shell\explore=Manager(&X)
      shell\explore\Command=nideiect.com


      +- presence des fichiers :

      Présent ! - F:\autorun.inf
      Présent ! - F:\nideiect.com


      --------------- [ Registre / Moutpoint2 ] ----------------

      Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\AutoRun\command
      Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\explore\Command
      Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\open\Command


      ------------------- ! Fin du rapport ! --------------------





      Je reste à ta dispo pour la suite
      0
  4. Utilisateur anonyme
     
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci FindyKill sur ton bureau

    --> Au menu principal,choisi l option 2 (Suppression)

    /!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

    /!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

    -------> ensuite post le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

    -1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    tu as une clé infecté

    Présent ! - F:\autorun.inf
    Présent ! - F:\nideiect.com

    qui n était pas branché lors du nettoyage ..

    branche la et les autres si tu as ...

    Telecharge UsbFix sur ton bureau

    --> Lance l installation avec les parametres par default

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Le pc va redémarer

    -->Apres redémarrage post le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

    -1
    1. maurice63
       
      oui j'utilise une cle entre les 2 pc ...

      comment telecharger sur mon pc puisque le virus m'inerdit la configuration sans fil.

      Je voudrais bien me passer de cette clé que je détruirais d'ailleurs si tout fonctionne.

      Mon deuxieme pc fonctionne tout à fait normalement

      A+

      maurice
      0
  7. Utilisateur anonyme
     
    que je détruirais d'ailleurs si tout fonctionne.

    pas la peine on va la nettoyer

    branche la sur le premier pc celui avec connexion et passe usbfix (post le rapport)

    ensuite on vois pour le wifi de l autre

    -1
    1. maurice63
       
      trop tard le fiston a voulu voir coment c'était dedans

      l'usb c'était en cadeau fournisseur j'en aurais d'autres


      revenons au sans fil
      0
  8. Utilisateur anonyme
     
    LOL

    mé va falloir transferer un fichier sur le pc sans connection ....

    donc si tu peux :

    telecharge ce fichier :

    http://sd-1.archive-host.com/membres/up/116615172019703188/repair.rar

    extrait le (dezppier)

    Double clic sur repair.bat

    une fenetre noire va apparaitre et disaparaitre

    ensuite redémarre et test ta connection
    -1
    1. maurice63
       
      je pense qu'il s'agissait simplement de la connection automatique via windows

      cela fonctionne j'ai pu obtenir le web et ma messagerie


      comment reprendre s'il le faut cette disussion via l'autre pc?


      et surtout un grand merci


      on trouve vraiment le pire comme le meilleur sur la toile


      maurice
      0