Sujet Précédent Sujet Suivant

Win32 beagle-AAW

Résolu/Fermé
maurice63 - 12 oct. 2008 à 14:42
 Utilisateur anonyme - 12 oct. 2008 à 18:55
Bonjour tous,

Voilà comme je le lis sur ce forum je me suis fais prendre par le virus beagle_AWW.

Avast le trouver au scan de démarrage dans le fichier c:\....restore

Ensuite il me trouve le fameux hldrrr.exe que je mets en quarantaine

Tout semble fonctionner sauf que ma configuration connexion sans fil ne marche plus.

Je suis donc actuellement en lignbe sur un second pc.

Merci beaucoup de votre aide .

8 réponses

Réponse 1 / 8
maurice63
12 oct. 2008 à 17:50
et voici le second txt


----------------- FindyKill V4.005 ------------------

* User : Maurice - PORTABLEMAURICE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 11/10/08 par Chiquitine29
* Suppression effectuée à 17:45:01 le 12/10/2008
* Windows XP - Internet Explorer 7.0.5730.11


((((((((((((((( *** Suppression *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Suppression des fichiers dans C:


»»»» Suppression des fichiers dans C:\WINDOWS


»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

Supprimé ! - C:\WINDOWS\Prefetch\CELESTIA-WIN32-1.5.1.EXE-10C0D690.pf
Supprimé ! - C:\WINDOWS\Prefetch\CELESTIA-WIN32-1.5.1.EXE.TMP-2118F352.pf
Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf
Supprimé ! - C:\WINDOWS\Prefetch\UNREGMP2.EXE-0CFB0619.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6A09524A.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4524B90F.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4F237B6B.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D99E3D1.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-58047B50.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-61CC0D7C.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42E9CD1B.pf
Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-1CE22EA3.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5A86C785.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5023DD43.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6A8E74C2.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6BFA9DB0.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3F9F101F.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3C0B20C8.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-44471177.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-50BDE640.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6FFBEADB.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-66068AB4.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6FF2844A.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6D2BFEB4.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6CB5931B.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-514D2A83.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5771684D.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4FF9832D.pf
Supprimé ! - C:\WINDOWS\Prefetch\LA_CAVE_DU_SOMMELIER_1.27.EXE-1709FC05.pf
Supprimé ! - C:\WINDOWS\Prefetch\SETUP50.EXE-2911CBB9.pf
Supprimé ! - C:\WINDOWS\Prefetch\DWTRIG20.EXE-1F73F0CD.pf
Supprimé ! - C:\WINDOWS\Prefetch\HLDRRR.EXE-0E6917FB.pf

»»»» Suppression des fichiers dans C:\WINDOWS\system32


»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

Supprimé ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Supprimé ! - C:\WINDOWS\system32\drivers\downld\317453.exe
Supprimé ! - C:\WINDOWS\system32\drivers\downld\320718.exe
Supprimé ! - C:\WINDOWS\system32\drivers\downld\351578.exe
Supprimé ! - C:\WINDOWS\system32\drivers\downld\449218.exe
Supprimé ! - C:\WINDOWS\system32\drivers\downld\455093.exe
Supprimé ! - "C:\WINDOWS\system32\drivers\downld"

»»»» Suppression des fichiers dans C:\Documents and Settings\Maurice\Application Data


»»»» Suppression des fichiers dans C:\DOCUME~1\Maurice\LOCALS~1\Temp


--------------- [ Registre / Clés infecteuses ] ----------------

Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
Supprimé ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\hldrrr
Supprimé ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\nideiect

-> Certaines clés ont été supprimées au premier reboot ...

--------------- [ Etat / Redémarage des services ] ----------------

+- Mode sans echec restauré !

+- Affichage des fichiers cachés réparé !


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 2

EapHost - Type de démarrage = 2

Wlansvc - Type de démarrage = 2

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2


--------------- [ Nettoyage des supports amovibles ] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- Suppression des fichiers :


--------------- [ Registre / Moutpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\open\Command

--------------- [ Recherche Cracks / Keygen ] ----------------



---------------- ! Fin du rapport ! ------------------
0
Réponse 2 / 8
Utilisateur anonyme
12 oct. 2008 à 14:49
Salut,

Telecharge FindyKill sur ton bureau :

--> Lance l installation avec les parametres par default

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
-1
maurice63
12 oct. 2008 à 17:07
Salut,

D'abord merci pour ce début d'aide

J'ai téléchargé sur une clé avec mon second pc mais entre temps le premier est reparti en scan demarrage avec avast

dès que pret je post le fichier

a+
0
Réponse 3 / 8
Utilisateur anonyme
12 oct. 2008 à 17:09
OK

@+ mé avast ne fera pas grand chose ...
-1
maurice63
12 oct. 2008 à 17:36
Me revoila,


et voici le .txt



----------------- FindyKill V4.005 ------------------

* User : Maurice - PORTABLEMAURICE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 11/10/08 par Chiquitine29
* Recherche effectuée à 17:26:34 le 12/10/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\documents and settings\maurice\local settings\application data\sekukqq.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\igfxsrvc.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0E6917FB.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\317453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\455093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\320718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\351578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\449218.exe

»»»» Presence des fichiers dans C:\Documents and Settings\Maurice\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\Maurice\LOCALS~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
Raccourci vers la page des propriétés de High Definition Audio REG_SZ HDAShCut.exe
AzMixerSel REG_SZ C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002 REG_SZ C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
PCMService REG_SZ "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
eDataSecurity Loader REG_SZ C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
EPM-DM REG_SZ c:\acer\Empowering Technology\ePower\epm-dm.exe
Acer ePower Management REG_SZ C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager REG_SZ C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService REG_SZ C:\Acer\Empowering Technology\eRecovery\Monitor.exe
ADMTray.exe REG_SZ "C:\Acer\Empowering Technology\admtray.exe"
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
!AVG Anti-Spyware REG_SZ "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
QuickTime Task REG_SZ "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
H/PC Connection Agent REG_SZ "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
updateMgr REG_SZ "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
sekukqq REG_SZ "c:\documents and settings\maurice\local settings\application data\sekukqq.exe" sekukqq

--------------- [ Registre / Clés infecteuses ] ----------------


Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe

--------------- [ Etat / Services ] ----------------


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixeD: - Lecteur fixeF: - Lecteur amovible
+- Contenu de l'autorun : F:\autorun.inf

[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com


+- presence des fichiers :

Présent ! - F:\autorun.inf
Présent ! - F:\nideiect.com


--------------- [ Registre / Moutpoint2 ] ----------------

Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\open\Command


------------------- ! Fin du rapport ! --------------------





Je reste à ta dispo pour la suite
0
maurice63
12 oct. 2008 à 17:36
Me revoila,


et voici le .txt



----------------- FindyKill V4.005 ------------------

* User : Maurice - PORTABLEMAURICE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 11/10/08 par Chiquitine29
* Recherche effectuée à 17:26:34 le 12/10/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\documents and settings\maurice\local settings\application data\sekukqq.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\igfxsrvc.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0E6917FB.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\317453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\455093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\320718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\351578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\449218.exe

»»»» Presence des fichiers dans C:\Documents and Settings\Maurice\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\Maurice\LOCALS~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
Raccourci vers la page des propriétés de High Definition Audio REG_SZ HDAShCut.exe
AzMixerSel REG_SZ C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002 REG_SZ C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
PCMService REG_SZ "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
eDataSecurity Loader REG_SZ C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
EPM-DM REG_SZ c:\acer\Empowering Technology\ePower\epm-dm.exe
Acer ePower Management REG_SZ C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
LManager REG_SZ C:\PROGRA~1\LAUNCH~1\LManager.exe
eRecoveryService REG_SZ C:\Acer\Empowering Technology\eRecovery\Monitor.exe
ADMTray.exe REG_SZ "C:\Acer\Empowering Technology\admtray.exe"
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
!AVG Anti-Spyware REG_SZ "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
QuickTime Task REG_SZ "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
H/PC Connection Agent REG_SZ "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
updateMgr REG_SZ "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
sekukqq REG_SZ "c:\documents and settings\maurice\local settings\application data\sekukqq.exe" sekukqq

--------------- [ Registre / Clés infecteuses ] ----------------


Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-801863422-1644064630-2559122482-1005\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] drvsyskit REG_SZ C:\WINDOWS\system32\drivers\hldrrr.exe

--------------- [ Etat / Services ] ----------------


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixeD: - Lecteur fixeF: - Lecteur amovible
+- Contenu de l'autorun : F:\autorun.inf

[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com


+- presence des fichiers :

Présent ! - F:\autorun.inf
Présent ! - F:\nideiect.com


--------------- [ Registre / Moutpoint2 ] ----------------

Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f631394-984c-11dd-9b1c-00166f0fbc34}\Shell\open\Command


------------------- ! Fin du rapport ! --------------------





Je reste à ta dispo pour la suite
0
Réponse 4 / 8
Utilisateur anonyme
12 oct. 2008 à 17:38
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)


/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

-1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Utilisateur anonyme
12 oct. 2008 à 17:55
tu as une clé infecté

Présent ! - F:\autorun.inf
Présent ! - F:\nideiect.com

qui n était pas branché lors du nettoyage ..

branche la et les autres si tu as ...


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides


-1
maurice63
12 oct. 2008 à 18:04
oui j'utilise une cle entre les 2 pc ...

comment telecharger sur mon pc puisque le virus m'inerdit la configuration sans fil.

Je voudrais bien me passer de cette clé que je détruirais d'ailleurs si tout fonctionne.

Mon deuxieme pc fonctionne tout à fait normalement

A+

maurice
0
Réponse 6 / 8
Utilisateur anonyme
12 oct. 2008 à 18:07
que je détruirais d'ailleurs si tout fonctionne.

pas la peine on va la nettoyer

branche la sur le premier pc celui avec connexion et passe usbfix (post le rapport)

ensuite on vois pour le wifi de l autre

-1
maurice63
12 oct. 2008 à 18:28
trop tard le fiston a voulu voir coment c'était dedans

l'usb c'était en cadeau fournisseur j'en aurais d'autres


revenons au sans fil
0
Réponse 7 / 8
Utilisateur anonyme
12 oct. 2008 à 18:32
LOL

mé va falloir transferer un fichier sur le pc sans connection ....

donc si tu peux :


telecharge ce fichier :

http://sd-1.archive-host.com/membres/up/116615172019703188/repair.rar

extrait le (dezppier)

Double clic sur repair.bat

une fenetre noire va apparaitre et disaparaitre

ensuite redémarre et test ta connection
-1
maurice63
12 oct. 2008 à 18:52
je pense qu'il s'agissait simplement de la connection automatique via windows

cela fonctionne j'ai pu obtenir le web et ma messagerie


comment reprendre s'il le faut cette disussion via l'autre pc?


et surtout un grand merci


on trouve vraiment le pire comme le meilleur sur la toile


maurice
0
Réponse 8 / 8
Utilisateur anonyme
12 oct. 2008 à 18:55
il te suffit de revenir sur le forum ....


ok bien si tout va bien on laisse comme ça alors

si tu n as pas d autres soucis change le statut du sujet en resolu stp

http://www.commentcamarche.net/faq/sujet 11365 marquer un fil de discussion comme etant resolu

-1

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32 bogent [susp]
hidalgo -
papajohn -

36 réponses