Rosa encore...

zedude -  
 zedude -
Bonjour,

Je crois que comme d'autres je suis bien infecté par Srosa
Peites précision avant d'aller plus loin, je suis sous XP et je ne peux pas redémarrer en mode sans échec ou ligne de commande (quand je dis je ne peux pas, c'est que le PC redémarre après le chargement des drivers de base. Et cela est bien antérieur à l'infection que j'ai aujourd'hui)
Je ne peux pas réinstaller mon antivirus (les process fantomes du virus m'en empêchent)

J'ai téléchargé le logiciel FindKill et voilà le résultat :

----------------- FindyKill V4.005 ------------------

* User : zedude - PIMOUSSE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 11/10/08 par Chiquitine29
* Recherche effectuée à 7:57:16 le 21/04/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\zedude\Application Data\m\flec006.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\611437.EXE-26FDCD8A.pf
Present ! - C:\WINDOWS\prefetch\638093.EXE-28E7A918.pf
Present ! - C:\WINDOWS\prefetch\643015.EXE-05A34A18.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-3B7FE2CA.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\108500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1185640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1227250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1241390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1392750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1410500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1445390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1624750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\173500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\180000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\190750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\308250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5596640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5603500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5670750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5784890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\589000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\651750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\656140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\79500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\81750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1268921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1272281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1343421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1427031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14850671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\150781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1533531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\280171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\294281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\481671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5694031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\606031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\659671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\77421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\79421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\91171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\95531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\107562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1364812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1413312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\308312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5682312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\89312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\102593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\139343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1433343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1438593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1520203.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1608843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29580093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\352953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\356953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\488343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\505343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5771343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\638093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\117234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\124734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1480734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1527984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\383984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5636984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\605484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1223125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1235125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1252125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1278625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1284515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1497125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29583375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\297015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\348765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\379625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\431125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\643015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\71015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\92265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\110656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\118156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1213906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1256156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1311156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14847046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\162656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\306546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\498546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5688046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\83656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\94406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1190187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1254937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1358187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1385437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1388437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1436687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1521437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\189187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\221187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\611437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\94937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\96937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\109218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1262828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1305078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1371078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1405828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\148828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\156578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\196828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\247328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\267828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\301578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\343468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5628328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\58078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\589078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\61578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\630218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\111859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1210859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1296859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\135609.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1477109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1536359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\186859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\287109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\628609.exe

»»»» Presence des fichiers dans C:\Documents and Settings\zedude\Application Data

Présent ! - "C:\Documents and Settings\zedude\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m"
Présent ! - "C:\Documents and Settings\zedude\Application Data\hidires"

»»»» Presence des fichiers dans C:\DOCUME~1\zedude\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
nTrayFw REG_SZ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
SoundMan REG_SZ SOUNDMAN.EXE
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
WinVNC REG_SZ "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
ISUSPM Startup REG_SZ C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
ISUSScheduler REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
LogonStudio REG_SZ "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
SetDefPrt REG_SZ C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
ControlCenter2.0 REG_SZ C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
ADUserMon REG_SZ C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
Iomega Drive Icons REG_SZ C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
Deskup REG_SZ C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
PWRISOVM.EXE REG_SZ C:\Program Files\PowerISO\PWRISOVM.EXE
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ISUSPM REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
msnmsgr REG_SZ "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

--------------- [ Registre / Clés infecteuses ] ----------------

Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\MuleAppData
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe

+- presence des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\open\Command

------------------- ! Fin du rapport ! --------------------

Est-il possible de fixer ce problème manuellement ?
Quelles sont les étapes détaillées et précises ?
Configuration: Windows XP
Internet Explorer 7.0

12 réponses

  1. zedude
     
    Bon ben c'est mort pour moi :(

    Quand je tente de faire la suppression des fichiers infectés par FindKill, j'ai doit à un joli écran bleu et zou reboot du PC
    Plusieurs tentatives, même résultat
    Je suis bloqué (du moins avec cet outil)

    Question subsidiaire :

    ce virus se reproduit-il dans tous les exe qu'il trouve ?
    Parce que sinon ca va être vite vu, je vais booter sur un disquette avec le support du ntfs en lecture/écriture et je vais aller virer les fichiers à la main (si je n'en rate pas un)

    Une idée ?
    0
  2. zedude
     
    Bon eh bien là encore, ca pue bien....
    quand je lance le logiciel, il affiche un message comme quoi il scanne ou charge 116 fichiers je ne sais pas quoi et après un certain moment (assez rapide), pan ! le logiciel se termine

    pas de fichier infosat.txt créé

    La merde quoi :(
    0
  3. zedude
     
    Bon je vais tester tes manips demain
    Cependant, j'ai un peu avancé avec mes propres moyens :)

    j'ai utilisé le démarrage sur le CD d'installation d'XP afin de lancer la console de récupération
    Celà m'a permis de constater qu'il est probable que ce n'est pas Srosa car l'exe n'existe pas sur le dur

    par contre j'ai viré hldrrr.exe, mdelk.exe, wintems.exe

    cependant, la console de récup ne me permet pas d'accépter à "documents and settings" et je sais qu'il y a aussi des fichiers comme flec006.exe qui se trouve dans des sous-dossiers d'utilisateurs. Comment je fais pour y accéder quand même ? :(

    Pour info, même si ce n'est pas parfait, le PC a l'air de tourner un peu mieux quand même...
    0
  4. zedude
     
    Bon
    Suite des folles aventures du virus qui ne voulait pas partir

    Voilà le rapport HijackThis après une désinfection manuelle (je vous expliquerais plus tard).
    Pouvez-vous m'aider à interprêter si le système à l'air OK ou s'il reste des choses à faire ?

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 07:36:38, on 25/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Iomega\System32\AppServices.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\Program Files\UltraVNC\WinVNC.exe
    C:\Program Files\Iomega\AutoDisk\ADService.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Tmp\Kill\HiJackThis2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
    O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
    O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
    O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
    O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
    O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Libre service')
    O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" (User 'Libre service')
    O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler (User 'Libre service')
    O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Libre service')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - S-1-5-21-1482476501-1078145449-682003330-1005 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
    O4 - S-1-5-21-1482476501-1078145449-682003330-1005 User Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
    O4 - S-1-5-18 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Default user')
    O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: UltraMon.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: S'abonner avec RSS Bandit - C:\Documents and Settings\zedude\Application Data\RssBandit\iecontext_subscribebandit.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://zedude95.wordpress.com/
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - https://zedude95.wordpress.com/
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
    O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
    O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
    O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. zedude
     
    Ah pas de bol
    Ton lien FindKill ne marche pas :(
    0
  7. zedude
     
    Bon

    Mon histoire se termine bien
    Je vais quand même donner à tout le monde la procédure que j'ai utilisé
    En effet, il m'était impossible d'utiliser les outils pour me débarrasser de ce virus car je ne pouvais pas redémarrer en mode sans échec (et cela était bien antérieur à l'arrivée du virus) et seul un user de type administrateur pouvait exécuter ces softs
    Bien sûr, dès qu'on ouvrait une session avec ce user, il était simplement impossible de faire le ménage

    Donc ce que j'ai fais, c'est que je me suis connecté avec un user lambda avec des droits réduits. Comme le user ne peut pas faire certaines choses (lancer des process bas niveaux, accès base de registre restreint, ...), le virus ne se lançait pas
    Et là, j'ai sorti mon arme secrète :

    RUNAS

    c'est une ligne de commande permettant d'exécuter un programme (exe, cmd, ...) en tant qu'un autre utilisateur
    Ce qui est cool c'est qu'il n'ouvre pas de session ou n'exécute pas autre chose que ce qu'on a positionné en ligne de commande. J'ai donc pu lancer un explorateur, un cmd.exe et un regedit pour faire un gros ménage. Puis plus tard j'ai aussi pu lancer les outils sus-cités pour au moins me générer des rapports m'indiquant s'il restait des traces de ce méchant virus

    Après ça, un reboot et je n'avais plus de trace ce qui m'a permis de réinstaller mon antivirus et faire un scan complet du système

    Voilà, donc souvenez-vous de la commande citée plus haut, elle pourra peut-être vous sauvez la vie un de ces 4

    Merci à tous pour votre aide
    0
  8. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    salut,

    réouvre findykill, branche tous ce qui est externe;clés,DD externe,...

    choisi cette fois ci l'option 2 (suppression)

    il y aura 2 redémarrages, laisse travailler l'outils jusqu'a l apparition du message "nettoyage effectué"

    un rapport va s'ouvrir, poste le dans ta prochaine réponse stp

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

    ensuite

    - Télécharge HiJackThis.exe de Merijn sur ton bureau.
    - Cette version est sans installateur! ( Zip à décompresser )
    - Enregistre le sur ton bureau
    ----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***

    - Double-clique dessus
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur "Do a scan and save log file".
    - Le rapport s'ouvre sur le Bloc-Note.
    - Colle le rapport ici, pour cela :
    - Menu Edition / Selectionner Tout
    - Menu Edition / copier
    - Ici dans un nouveau message : clic droit / coller
    - ** ne pas fixer de lignes sans notre avis **
    Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
    En image
    -1
  9. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    en fait tu as le trojan bagle

    essaye ceci avant

    Va sur ce site, et télécharge la dernier version ici:
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de la page tu trouveras un outil à télécharger,
    clique sur "escargar Elibagla"
    installe ce fichier sur le bureau.
    ensuite double-clique sur Elibagla.exe
    laisse la case "eliminar ficheros automaticamente" cochée
    clique sur"explorar"
    laisse-le travailler
    poste le rapport final qui sera dans c:\infosat.txt
    -1
  10. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    bon...bagle,c'est un coriace
    fais ceci

    Etape 1 :

    Supprimer la version d'Elibagla, et télécharger la dernière version de l'outil ici.
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    Très important, enregistrer ou déplacer ensuite le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer.
    Puis, renommer C:\Elibagla.XXXXX.exe en mdelk.exe

    /!\ Attention, un mauvais renommage rendra l'astuce inefficace
    - Si les extentions de fichiers sont visibles : Renommer ELIBAGLA.XXXXX.EXE -> mdelk.exe
    - Si les extentions de fichiers ne sont pas visibles: Renommer ELIBAGLA.XXXXX -> mdelk

    Pour exécuter Elibagla renommé :

    Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (ou ouvrir le Menu Démarrer -> Exécuter)
    Dans la boîte de dialogue "Exécuter" taper cmd
    Valider
    Dans la fenêtre de l'invite de commande qui s'ouvre, taper :
    C:\mdelk.exe
    Valider avec la touche [Entrée]

    Si l'infection est pleinement active, l'outil va s'exécuter qu'il soit visible ou pas du système et se refermer assez rapidement, mais aura eu le temps de faire une partie essentielle de son job. (l'action directe)

    -_-_-_-_-_-_-_-_-_-_-_-_-_-

    Etape 2:

    Redémarrer le pc, c'est très important.
    Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
    Dès que le menu principal d'Elibagla apparaîtra :
    - Laisser la case "Eliminar ficheros automaticamente" coché
    - Clic sur "Explorar" pour lancer le scan complet du pc.
    Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître.

    si cela ne fonctionne pas j'ai encore une autre astuce!
    -1
  11. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    tu peux afficher les dossiers cachés

    "Démarrer" dans la Barre des tâches
    Cliquer sur "Panneau de configuration"
    Cliquer sur "Options des dossiers"
    Cliquer sur l'onglet "Affichage"
    **dans fichiers et dossiers cachés:
    Cocher "Afficher les fichiers et dossiers cachés"
    Décocher "Masquer les extensions des fichiers dont le type est connu"
    Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)"
    **Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur OUI
    Cliquer sur "Appliquer à tous les dossiers"
    Cliquer sur "Ok"

    essaye quand même de lancer Findykill

    de plus tu as des autorun présent...pas bon ça

    il y a une dernière manière de l'avoir

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    **Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
    deconnecte toi d'internet,ferme tout les programmes

    Double-clique sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
    ne touche plus à rien, même pas ta souris!!
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    Copie/colle un nouveau rapport HiJackThis avec.
    -1
  12. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    Salut,le rapport est bon,a part ces lignes superflues

    relance Hijackthis(scan only) et coche ces lignes

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
    O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
    O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - Global Startup: UltraMon.lnk = ?
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
    O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

    clic sur fix checked

    peux-tu relancer désinstaller Findykill puis le réinstaller;il controle très bien si bagle est encore présent

    Télécharge FindyKill de Chiquitine29

    Fais un clic droit sur le lien, enregister sous .....sur le bureau

    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    Dézippe le sur le bureau

    Entre dans le dossier FindyKill

    double clic sur FindyKill.exe

    choisi l option 1 (recherche)

    un rapport va s ouvrir, post le dans ta prochaine réponse stp

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    -1
  13. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    ha zut,
    il travaille sur l'outil probablement

    en attendant,tu as pu tout réinstaller?
    faut pas oublier que bagle flingue l'antivirus et le pare-feu
    vérifie si tout est correct
    le cas échéant,faut réinstaller,n'essaye pas de les corriger,ça sert à rien
    -1