A voir également:
- Rosa encore...
- Reset pokemon rosa ✓ - Forum Pokémon
- Apitrini ile rosa rugosa ✓ - Forum Jeux vidéo
- Friends rosa - Forum Cinéma / Télé
- Pokemon rosa rom fr - Guide
- Pokemon rosa cheat code citra - Forum Jeux vidéo
12 réponses
Bon ben c'est mort pour moi :(
Quand je tente de faire la suppression des fichiers infectés par FindKill, j'ai doit à un joli écran bleu et zou reboot du PC
Plusieurs tentatives, même résultat
Je suis bloqué (du moins avec cet outil)
Question subsidiaire :
ce virus se reproduit-il dans tous les exe qu'il trouve ?
Parce que sinon ca va être vite vu, je vais booter sur un disquette avec le support du ntfs en lecture/écriture et je vais aller virer les fichiers à la main (si je n'en rate pas un)
Une idée ?
Quand je tente de faire la suppression des fichiers infectés par FindKill, j'ai doit à un joli écran bleu et zou reboot du PC
Plusieurs tentatives, même résultat
Je suis bloqué (du moins avec cet outil)
Question subsidiaire :
ce virus se reproduit-il dans tous les exe qu'il trouve ?
Parce que sinon ca va être vite vu, je vais booter sur un disquette avec le support du ntfs en lecture/écriture et je vais aller virer les fichiers à la main (si je n'en rate pas un)
Une idée ?
Bon eh bien là encore, ca pue bien....
quand je lance le logiciel, il affiche un message comme quoi il scanne ou charge 116 fichiers je ne sais pas quoi et après un certain moment (assez rapide), pan ! le logiciel se termine
pas de fichier infosat.txt créé
La merde quoi :(
quand je lance le logiciel, il affiche un message comme quoi il scanne ou charge 116 fichiers je ne sais pas quoi et après un certain moment (assez rapide), pan ! le logiciel se termine
pas de fichier infosat.txt créé
La merde quoi :(
Bon je vais tester tes manips demain
Cependant, j'ai un peu avancé avec mes propres moyens :)
j'ai utilisé le démarrage sur le CD d'installation d'XP afin de lancer la console de récupération
Celà m'a permis de constater qu'il est probable que ce n'est pas Srosa car l'exe n'existe pas sur le dur
par contre j'ai viré hldrrr.exe, mdelk.exe, wintems.exe
cependant, la console de récup ne me permet pas d'accépter à "documents and settings" et je sais qu'il y a aussi des fichiers comme flec006.exe qui se trouve dans des sous-dossiers d'utilisateurs. Comment je fais pour y accéder quand même ? :(
Pour info, même si ce n'est pas parfait, le PC a l'air de tourner un peu mieux quand même...
Cependant, j'ai un peu avancé avec mes propres moyens :)
j'ai utilisé le démarrage sur le CD d'installation d'XP afin de lancer la console de récupération
Celà m'a permis de constater qu'il est probable que ce n'est pas Srosa car l'exe n'existe pas sur le dur
par contre j'ai viré hldrrr.exe, mdelk.exe, wintems.exe
cependant, la console de récup ne me permet pas d'accépter à "documents and settings" et je sais qu'il y a aussi des fichiers comme flec006.exe qui se trouve dans des sous-dossiers d'utilisateurs. Comment je fais pour y accéder quand même ? :(
Pour info, même si ce n'est pas parfait, le PC a l'air de tourner un peu mieux quand même...
Bon
Suite des folles aventures du virus qui ne voulait pas partir
Voilà le rapport HijackThis après une désinfection manuelle (je vous expliquerais plus tard).
Pouvez-vous m'aider à interprêter si le système à l'air OK ou s'il reste des choses à faire ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:38, on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\cmd.exe
C:\Tmp\Kill\HiJackThis2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 User Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-18 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec RSS Bandit - C:\Documents and Settings\zedude\Application Data\RssBandit\iecontext_subscribebandit.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://zedude95.wordpress.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - https://zedude95.wordpress.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
Suite des folles aventures du virus qui ne voulait pas partir
Voilà le rapport HijackThis après une désinfection manuelle (je vous expliquerais plus tard).
Pouvez-vous m'aider à interprêter si le système à l'air OK ou s'il reste des choses à faire ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:38, on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\cmd.exe
C:\Tmp\Kill\HiJackThis2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 User Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-18 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec RSS Bandit - C:\Documents and Settings\zedude\Application Data\RssBandit\iecontext_subscribebandit.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://zedude95.wordpress.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - https://zedude95.wordpress.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon
Mon histoire se termine bien
Je vais quand même donner à tout le monde la procédure que j'ai utilisé
En effet, il m'était impossible d'utiliser les outils pour me débarrasser de ce virus car je ne pouvais pas redémarrer en mode sans échec (et cela était bien antérieur à l'arrivée du virus) et seul un user de type administrateur pouvait exécuter ces softs
Bien sûr, dès qu'on ouvrait une session avec ce user, il était simplement impossible de faire le ménage
Donc ce que j'ai fais, c'est que je me suis connecté avec un user lambda avec des droits réduits. Comme le user ne peut pas faire certaines choses (lancer des process bas niveaux, accès base de registre restreint, ...), le virus ne se lançait pas
Et là, j'ai sorti mon arme secrète :
RUNAS
c'est une ligne de commande permettant d'exécuter un programme (exe, cmd, ...) en tant qu'un autre utilisateur
Ce qui est cool c'est qu'il n'ouvre pas de session ou n'exécute pas autre chose que ce qu'on a positionné en ligne de commande. J'ai donc pu lancer un explorateur, un cmd.exe et un regedit pour faire un gros ménage. Puis plus tard j'ai aussi pu lancer les outils sus-cités pour au moins me générer des rapports m'indiquant s'il restait des traces de ce méchant virus
Après ça, un reboot et je n'avais plus de trace ce qui m'a permis de réinstaller mon antivirus et faire un scan complet du système
Voilà, donc souvenez-vous de la commande citée plus haut, elle pourra peut-être vous sauvez la vie un de ces 4
Merci à tous pour votre aide
Mon histoire se termine bien
Je vais quand même donner à tout le monde la procédure que j'ai utilisé
En effet, il m'était impossible d'utiliser les outils pour me débarrasser de ce virus car je ne pouvais pas redémarrer en mode sans échec (et cela était bien antérieur à l'arrivée du virus) et seul un user de type administrateur pouvait exécuter ces softs
Bien sûr, dès qu'on ouvrait une session avec ce user, il était simplement impossible de faire le ménage
Donc ce que j'ai fais, c'est que je me suis connecté avec un user lambda avec des droits réduits. Comme le user ne peut pas faire certaines choses (lancer des process bas niveaux, accès base de registre restreint, ...), le virus ne se lançait pas
Et là, j'ai sorti mon arme secrète :
RUNAS
c'est une ligne de commande permettant d'exécuter un programme (exe, cmd, ...) en tant qu'un autre utilisateur
Ce qui est cool c'est qu'il n'ouvre pas de session ou n'exécute pas autre chose que ce qu'on a positionné en ligne de commande. J'ai donc pu lancer un explorateur, un cmd.exe et un regedit pour faire un gros ménage. Puis plus tard j'ai aussi pu lancer les outils sus-cités pour au moins me générer des rapports m'indiquant s'il restait des traces de ce méchant virus
Après ça, un reboot et je n'avais plus de trace ce qui m'a permis de réinstaller mon antivirus et faire un scan complet du système
Voilà, donc souvenez-vous de la commande citée plus haut, elle pourra peut-être vous sauvez la vie un de ces 4
Merci à tous pour votre aide
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
13 oct. 2008 à 14:48
13 oct. 2008 à 14:48
salut,
réouvre findykill, branche tous ce qui est externe;clés,DD externe,...
choisi cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outils jusqu'a l apparition du message "nettoyage effectué"
un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
ensuite
- Télécharge HiJackThis.exe de Merijn sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau
----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
réouvre findykill, branche tous ce qui est externe;clés,DD externe,...
choisi cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outils jusqu'a l apparition du message "nettoyage effectué"
un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
ensuite
- Télécharge HiJackThis.exe de Merijn sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau
----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
13 oct. 2008 à 15:43
13 oct. 2008 à 15:43
en fait tu as le trojan bagle
essaye ceci avant
Va sur ce site, et télécharge la dernier version ici:
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de la page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla"
installe ce fichier sur le bureau.
ensuite double-clique sur Elibagla.exe
laisse la case "eliminar ficheros automaticamente" cochée
clique sur"explorar"
laisse-le travailler
poste le rapport final qui sera dans c:\infosat.txt
essaye ceci avant
Va sur ce site, et télécharge la dernier version ici:
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de la page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla"
installe ce fichier sur le bureau.
ensuite double-clique sur Elibagla.exe
laisse la case "eliminar ficheros automaticamente" cochée
clique sur"explorar"
laisse-le travailler
poste le rapport final qui sera dans c:\infosat.txt
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
13 oct. 2008 à 21:05
13 oct. 2008 à 21:05
bon...bagle,c'est un coriace
fais ceci
Etape 1 :
Supprimer la version d'Elibagla, et télécharger la dernière version de l'outil ici.
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Très important, enregistrer ou déplacer ensuite le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer.
Puis, renommer C:\Elibagla.XXXXX.exe en mdelk.exe
/!\ Attention, un mauvais renommage rendra l'astuce inefficace
- Si les extentions de fichiers sont visibles : Renommer ELIBAGLA.XXXXX.EXE -> mdelk.exe
- Si les extentions de fichiers ne sont pas visibles: Renommer ELIBAGLA.XXXXX -> mdelk
Pour exécuter Elibagla renommé :
Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (ou ouvrir le Menu Démarrer -> Exécuter)
Dans la boîte de dialogue "Exécuter" taper cmd
Valider
Dans la fenêtre de l'invite de commande qui s'ouvre, taper :
C:\mdelk.exe
Valider avec la touche [Entrée]
Si l'infection est pleinement active, l'outil va s'exécuter qu'il soit visible ou pas du système et se refermer assez rapidement, mais aura eu le temps de faire une partie essentielle de son job. (l'action directe)
-_-_-_-_-_-_-_-_-_-_-_-_-_-
Etape 2:
Redémarrer le pc, c'est très important.
Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
Dès que le menu principal d'Elibagla apparaîtra :
- Laisser la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan complet du pc.
Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître.
si cela ne fonctionne pas j'ai encore une autre astuce!
fais ceci
Etape 1 :
Supprimer la version d'Elibagla, et télécharger la dernière version de l'outil ici.
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Très important, enregistrer ou déplacer ensuite le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer.
Puis, renommer C:\Elibagla.XXXXX.exe en mdelk.exe
/!\ Attention, un mauvais renommage rendra l'astuce inefficace
- Si les extentions de fichiers sont visibles : Renommer ELIBAGLA.XXXXX.EXE -> mdelk.exe
- Si les extentions de fichiers ne sont pas visibles: Renommer ELIBAGLA.XXXXX -> mdelk
Pour exécuter Elibagla renommé :
Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (ou ouvrir le Menu Démarrer -> Exécuter)
Dans la boîte de dialogue "Exécuter" taper cmd
Valider
Dans la fenêtre de l'invite de commande qui s'ouvre, taper :
C:\mdelk.exe
Valider avec la touche [Entrée]
Si l'infection est pleinement active, l'outil va s'exécuter qu'il soit visible ou pas du système et se refermer assez rapidement, mais aura eu le temps de faire une partie essentielle de son job. (l'action directe)
-_-_-_-_-_-_-_-_-_-_-_-_-_-
Etape 2:
Redémarrer le pc, c'est très important.
Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
Dès que le menu principal d'Elibagla apparaîtra :
- Laisser la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan complet du pc.
Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître.
si cela ne fonctionne pas j'ai encore une autre astuce!
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
13 oct. 2008 à 22:43
13 oct. 2008 à 22:43
tu peux afficher les dossiers cachés
"Démarrer" dans la Barre des tâches
Cliquer sur "Panneau de configuration"
Cliquer sur "Options des dossiers"
Cliquer sur l'onglet "Affichage"
**dans fichiers et dossiers cachés:
Cocher "Afficher les fichiers et dossiers cachés"
Décocher "Masquer les extensions des fichiers dont le type est connu"
Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)"
**Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur OUI
Cliquer sur "Appliquer à tous les dossiers"
Cliquer sur "Ok"
essaye quand même de lancer Findykill
de plus tu as des autorun présent...pas bon ça
il y a une dernière manière de l'avoir
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes
Double-clique sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
"Démarrer" dans la Barre des tâches
Cliquer sur "Panneau de configuration"
Cliquer sur "Options des dossiers"
Cliquer sur l'onglet "Affichage"
**dans fichiers et dossiers cachés:
Cocher "Afficher les fichiers et dossiers cachés"
Décocher "Masquer les extensions des fichiers dont le type est connu"
Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)"
**Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur OUI
Cliquer sur "Appliquer à tous les dossiers"
Cliquer sur "Ok"
essaye quand même de lancer Findykill
de plus tu as des autorun présent...pas bon ça
il y a une dernière manière de l'avoir
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes
Double-clique sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
17 oct. 2008 à 08:03
17 oct. 2008 à 08:03
Salut,le rapport est bon,a part ces lignes superflues
relance Hijackthis(scan only) et coche ces lignes
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: UltraMon.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
clic sur fix checked
peux-tu relancer désinstaller Findykill puis le réinstaller;il controle très bien si bagle est encore présent
Télécharge FindyKill de Chiquitine29
Fais un clic droit sur le lien, enregister sous .....sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Dézippe le sur le bureau
Entre dans le dossier FindyKill
double clic sur FindyKill.exe
choisi l option 1 (recherche)
un rapport va s ouvrir, post le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
relance Hijackthis(scan only) et coche ces lignes
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: UltraMon.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
clic sur fix checked
peux-tu relancer désinstaller Findykill puis le réinstaller;il controle très bien si bagle est encore présent
Télécharge FindyKill de Chiquitine29
Fais un clic droit sur le lien, enregister sous .....sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Dézippe le sur le bureau
Entre dans le dossier FindyKill
double clic sur FindyKill.exe
choisi l option 1 (recherche)
un rapport va s ouvrir, post le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
17 oct. 2008 à 08:24
17 oct. 2008 à 08:24
ha zut,
il travaille sur l'outil probablement
en attendant,tu as pu tout réinstaller?
faut pas oublier que bagle flingue l'antivirus et le pare-feu
vérifie si tout est correct
le cas échéant,faut réinstaller,n'essaye pas de les corriger,ça sert à rien
il travaille sur l'outil probablement
en attendant,tu as pu tout réinstaller?
faut pas oublier que bagle flingue l'antivirus et le pare-feu
vérifie si tout est correct
le cas échéant,faut réinstaller,n'essaye pas de les corriger,ça sert à rien