Rosa encore...
zedude
-
zedude -
zedude -
Bonjour,
Je crois que comme d'autres je suis bien infecté par Srosa
Peites précision avant d'aller plus loin, je suis sous XP et je ne peux pas redémarrer en mode sans échec ou ligne de commande (quand je dis je ne peux pas, c'est que le PC redémarre après le chargement des drivers de base. Et cela est bien antérieur à l'infection que j'ai aujourd'hui)
Je ne peux pas réinstaller mon antivirus (les process fantomes du virus m'en empêchent)
J'ai téléchargé le logiciel FindKill et voilà le résultat :
----------------- FindyKill V4.005 ------------------
* User : zedude - PIMOUSSE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 11/10/08 par Chiquitine29
* Recherche effectuée à 7:57:16 le 21/04/2008
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\zedude\Application Data\m\flec006.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\611437.EXE-26FDCD8A.pf
Present ! - C:\WINDOWS\prefetch\638093.EXE-28E7A918.pf
Present ! - C:\WINDOWS\prefetch\643015.EXE-05A34A18.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-3B7FE2CA.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\108500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1185640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1227250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1241390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1392750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1410500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1445390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1624750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\173500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\180000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\190750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\308250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5596640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5603500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5670750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5784890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\589000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\651750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\656140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\79500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\81750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1268921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1272281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1343421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1427031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14850671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\150781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1533531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\280171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\294281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\481671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5694031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\606031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\659671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\77421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\79421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\91171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\95531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\107562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1364812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1413312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\308312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5682312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\89312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\102593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\139343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1433343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1438593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1520203.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1608843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29580093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\352953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\356953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\488343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\505343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5771343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\638093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\117234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\124734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1480734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1527984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\383984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5636984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\605484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1223125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1235125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1252125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1278625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1284515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1497125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29583375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\297015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\348765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\379625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\431125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\643015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\71015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\92265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\110656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\118156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1213906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1256156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1311156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14847046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\162656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\306546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\498546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5688046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\83656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\94406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1190187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1254937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1358187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1385437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1388437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1436687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1521437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\189187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\221187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\611437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\94937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\96937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\109218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1262828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1305078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1371078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1405828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\148828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\156578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\196828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\247328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\267828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\301578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\343468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5628328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\58078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\589078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\61578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\630218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\111859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1210859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1296859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\135609.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1477109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1536359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\186859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\287109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\628609.exe
»»»» Presence des fichiers dans C:\Documents and Settings\zedude\Application Data
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m"
Présent ! - "C:\Documents and Settings\zedude\Application Data\hidires"
»»»» Presence des fichiers dans C:\DOCUME~1\zedude\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
nTrayFw REG_SZ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
SoundMan REG_SZ SOUNDMAN.EXE
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
WinVNC REG_SZ "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
ISUSPM Startup REG_SZ C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
ISUSScheduler REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
LogonStudio REG_SZ "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
SetDefPrt REG_SZ C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
ControlCenter2.0 REG_SZ C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
ADUserMon REG_SZ C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
Iomega Drive Icons REG_SZ C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
Deskup REG_SZ C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
PWRISOVM.EXE REG_SZ C:\Program Files\PowerISO\PWRISOVM.EXE
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ISUSPM REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
msnmsgr REG_SZ "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
--------------- [ Registre / Clés infecteuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\MuleAppData
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
Est-il possible de fixer ce problème manuellement ?
Quelles sont les étapes détaillées et précises ?
Je crois que comme d'autres je suis bien infecté par Srosa
Peites précision avant d'aller plus loin, je suis sous XP et je ne peux pas redémarrer en mode sans échec ou ligne de commande (quand je dis je ne peux pas, c'est que le PC redémarre après le chargement des drivers de base. Et cela est bien antérieur à l'infection que j'ai aujourd'hui)
Je ne peux pas réinstaller mon antivirus (les process fantomes du virus m'en empêchent)
J'ai téléchargé le logiciel FindKill et voilà le résultat :
----------------- FindyKill V4.005 ------------------
* User : zedude - PIMOUSSE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 11/10/08 par Chiquitine29
* Recherche effectuée à 7:57:16 le 21/04/2008
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\zedude\Application Data\m\flec006.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\611437.EXE-26FDCD8A.pf
Present ! - C:\WINDOWS\prefetch\638093.EXE-28E7A918.pf
Present ! - C:\WINDOWS\prefetch\643015.EXE-05A34A18.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-3B7FE2CA.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\108500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1185640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1227250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1241390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1392750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1410500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1445390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1624750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\173500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\180000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\190750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\308250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5596640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5603500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5670750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5784890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\589000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\651750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\656140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\79500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\81750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1268921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1272281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1343421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1427031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14850671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\150781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1533531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\280171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\294281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\481671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5694031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\606031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\659671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\77421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\79421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\91171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\95531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\107562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1364812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1413312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\308312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5682312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\89312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\102593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\139343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1433343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1438593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1520203.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1608843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29580093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\352953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\356953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\488343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\505343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5771343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\638093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\117234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\124734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1480734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1527984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\383984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5636984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\605484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1223125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1235125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1252125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1278625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1284515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1497125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29583375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\297015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\348765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\379625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\431125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\643015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\71015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\92265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\110656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\118156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1213906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1256156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1311156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14847046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\162656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\306546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\498546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5688046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\83656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\94406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1190187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1254937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1358187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1385437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1388437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1436687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1521437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\189187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\221187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\611437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\94937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\96937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\104718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\109218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1262828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1305078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1371078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1405828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\148828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\156578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\196828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\203328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\247328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\267828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\301578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\343468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\5628328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\58078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\589078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\61578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\630218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\111859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1210859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1296859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\135609.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1477109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1536359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\186859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\287109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\628609.exe
»»»» Presence des fichiers dans C:\Documents and Settings\zedude\Application Data
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\zedude\Application Data\m"
Présent ! - "C:\Documents and Settings\zedude\Application Data\hidires"
»»»» Presence des fichiers dans C:\DOCUME~1\zedude\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
nTrayFw REG_SZ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
SoundMan REG_SZ SOUNDMAN.EXE
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
WinVNC REG_SZ "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
ISUSPM Startup REG_SZ C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
ISUSScheduler REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
LogonStudio REG_SZ "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
SetDefPrt REG_SZ C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
ControlCenter2.0 REG_SZ C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
ADUserMon REG_SZ C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
Iomega Drive Icons REG_SZ C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
Deskup REG_SZ C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
PWRISOVM.EXE REG_SZ C:\Program Files\PowerISO\PWRISOVM.EXE
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ISUSPM REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
msnmsgr REG_SZ "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
--------------- [ Registre / Clés infecteuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-1482476501-1078145449-682003330-1003\Software\MuleAppData
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc521636-9307-11dd-8db9-0013d48dcdac}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
Est-il possible de fixer ce problème manuellement ?
Quelles sont les étapes détaillées et précises ?
12 réponses
Bon ben c'est mort pour moi :(
Quand je tente de faire la suppression des fichiers infectés par FindKill, j'ai doit à un joli écran bleu et zou reboot du PC
Plusieurs tentatives, même résultat
Je suis bloqué (du moins avec cet outil)
Question subsidiaire :
ce virus se reproduit-il dans tous les exe qu'il trouve ?
Parce que sinon ca va être vite vu, je vais booter sur un disquette avec le support du ntfs en lecture/écriture et je vais aller virer les fichiers à la main (si je n'en rate pas un)
Une idée ?
Quand je tente de faire la suppression des fichiers infectés par FindKill, j'ai doit à un joli écran bleu et zou reboot du PC
Plusieurs tentatives, même résultat
Je suis bloqué (du moins avec cet outil)
Question subsidiaire :
ce virus se reproduit-il dans tous les exe qu'il trouve ?
Parce que sinon ca va être vite vu, je vais booter sur un disquette avec le support du ntfs en lecture/écriture et je vais aller virer les fichiers à la main (si je n'en rate pas un)
Une idée ?
Bon eh bien là encore, ca pue bien....
quand je lance le logiciel, il affiche un message comme quoi il scanne ou charge 116 fichiers je ne sais pas quoi et après un certain moment (assez rapide), pan ! le logiciel se termine
pas de fichier infosat.txt créé
La merde quoi :(
quand je lance le logiciel, il affiche un message comme quoi il scanne ou charge 116 fichiers je ne sais pas quoi et après un certain moment (assez rapide), pan ! le logiciel se termine
pas de fichier infosat.txt créé
La merde quoi :(
Bon je vais tester tes manips demain
Cependant, j'ai un peu avancé avec mes propres moyens :)
j'ai utilisé le démarrage sur le CD d'installation d'XP afin de lancer la console de récupération
Celà m'a permis de constater qu'il est probable que ce n'est pas Srosa car l'exe n'existe pas sur le dur
par contre j'ai viré hldrrr.exe, mdelk.exe, wintems.exe
cependant, la console de récup ne me permet pas d'accépter à "documents and settings" et je sais qu'il y a aussi des fichiers comme flec006.exe qui se trouve dans des sous-dossiers d'utilisateurs. Comment je fais pour y accéder quand même ? :(
Pour info, même si ce n'est pas parfait, le PC a l'air de tourner un peu mieux quand même...
Cependant, j'ai un peu avancé avec mes propres moyens :)
j'ai utilisé le démarrage sur le CD d'installation d'XP afin de lancer la console de récupération
Celà m'a permis de constater qu'il est probable que ce n'est pas Srosa car l'exe n'existe pas sur le dur
par contre j'ai viré hldrrr.exe, mdelk.exe, wintems.exe
cependant, la console de récup ne me permet pas d'accépter à "documents and settings" et je sais qu'il y a aussi des fichiers comme flec006.exe qui se trouve dans des sous-dossiers d'utilisateurs. Comment je fais pour y accéder quand même ? :(
Pour info, même si ce n'est pas parfait, le PC a l'air de tourner un peu mieux quand même...
Bon
Suite des folles aventures du virus qui ne voulait pas partir
Voilà le rapport HijackThis après une désinfection manuelle (je vous expliquerais plus tard).
Pouvez-vous m'aider à interprêter si le système à l'air OK ou s'il reste des choses à faire ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:38, on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\cmd.exe
C:\Tmp\Kill\HiJackThis2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 User Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-18 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec RSS Bandit - C:\Documents and Settings\zedude\Application Data\RssBandit\iecontext_subscribebandit.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://zedude95.wordpress.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - https://zedude95.wordpress.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
Suite des folles aventures du virus qui ne voulait pas partir
Voilà le rapport HijackThis après une désinfection manuelle (je vous expliquerais plus tard).
Pouvez-vous m'aider à interprêter si le système à l'air OK ou s'il reste des choses à faire ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:38, on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\cmd.exe
C:\Tmp\Kill\HiJackThis2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -scheduler (User 'Libre service')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-21-1482476501-1078145449-682003330-1005 User Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Libre service')
O4 - S-1-5-18 Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Libre service\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec RSS Bandit - C:\Documents and Settings\zedude\Application Data\RssBandit\iecontext_subscribebandit.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://zedude95.wordpress.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - https://zedude95.wordpress.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon
Mon histoire se termine bien
Je vais quand même donner à tout le monde la procédure que j'ai utilisé
En effet, il m'était impossible d'utiliser les outils pour me débarrasser de ce virus car je ne pouvais pas redémarrer en mode sans échec (et cela était bien antérieur à l'arrivée du virus) et seul un user de type administrateur pouvait exécuter ces softs
Bien sûr, dès qu'on ouvrait une session avec ce user, il était simplement impossible de faire le ménage
Donc ce que j'ai fais, c'est que je me suis connecté avec un user lambda avec des droits réduits. Comme le user ne peut pas faire certaines choses (lancer des process bas niveaux, accès base de registre restreint, ...), le virus ne se lançait pas
Et là, j'ai sorti mon arme secrète :
RUNAS
c'est une ligne de commande permettant d'exécuter un programme (exe, cmd, ...) en tant qu'un autre utilisateur
Ce qui est cool c'est qu'il n'ouvre pas de session ou n'exécute pas autre chose que ce qu'on a positionné en ligne de commande. J'ai donc pu lancer un explorateur, un cmd.exe et un regedit pour faire un gros ménage. Puis plus tard j'ai aussi pu lancer les outils sus-cités pour au moins me générer des rapports m'indiquant s'il restait des traces de ce méchant virus
Après ça, un reboot et je n'avais plus de trace ce qui m'a permis de réinstaller mon antivirus et faire un scan complet du système
Voilà, donc souvenez-vous de la commande citée plus haut, elle pourra peut-être vous sauvez la vie un de ces 4
Merci à tous pour votre aide
Mon histoire se termine bien
Je vais quand même donner à tout le monde la procédure que j'ai utilisé
En effet, il m'était impossible d'utiliser les outils pour me débarrasser de ce virus car je ne pouvais pas redémarrer en mode sans échec (et cela était bien antérieur à l'arrivée du virus) et seul un user de type administrateur pouvait exécuter ces softs
Bien sûr, dès qu'on ouvrait une session avec ce user, il était simplement impossible de faire le ménage
Donc ce que j'ai fais, c'est que je me suis connecté avec un user lambda avec des droits réduits. Comme le user ne peut pas faire certaines choses (lancer des process bas niveaux, accès base de registre restreint, ...), le virus ne se lançait pas
Et là, j'ai sorti mon arme secrète :
RUNAS
c'est une ligne de commande permettant d'exécuter un programme (exe, cmd, ...) en tant qu'un autre utilisateur
Ce qui est cool c'est qu'il n'ouvre pas de session ou n'exécute pas autre chose que ce qu'on a positionné en ligne de commande. J'ai donc pu lancer un explorateur, un cmd.exe et un regedit pour faire un gros ménage. Puis plus tard j'ai aussi pu lancer les outils sus-cités pour au moins me générer des rapports m'indiquant s'il restait des traces de ce méchant virus
Après ça, un reboot et je n'avais plus de trace ce qui m'a permis de réinstaller mon antivirus et faire un scan complet du système
Voilà, donc souvenez-vous de la commande citée plus haut, elle pourra peut-être vous sauvez la vie un de ces 4
Merci à tous pour votre aide
salut,
réouvre findykill, branche tous ce qui est externe;clés,DD externe,...
choisi cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outils jusqu'a l apparition du message "nettoyage effectué"
un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
ensuite
- Télécharge HiJackThis.exe de Merijn sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau
----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
réouvre findykill, branche tous ce qui est externe;clés,DD externe,...
choisi cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outils jusqu'a l apparition du message "nettoyage effectué"
un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
ensuite
- Télécharge HiJackThis.exe de Merijn sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau
----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
en fait tu as le trojan bagle
essaye ceci avant
Va sur ce site, et télécharge la dernier version ici:
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de la page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla"
installe ce fichier sur le bureau.
ensuite double-clique sur Elibagla.exe
laisse la case "eliminar ficheros automaticamente" cochée
clique sur"explorar"
laisse-le travailler
poste le rapport final qui sera dans c:\infosat.txt
essaye ceci avant
Va sur ce site, et télécharge la dernier version ici:
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de la page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla"
installe ce fichier sur le bureau.
ensuite double-clique sur Elibagla.exe
laisse la case "eliminar ficheros automaticamente" cochée
clique sur"explorar"
laisse-le travailler
poste le rapport final qui sera dans c:\infosat.txt
bon...bagle,c'est un coriace
fais ceci
Etape 1 :
Supprimer la version d'Elibagla, et télécharger la dernière version de l'outil ici.
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Très important, enregistrer ou déplacer ensuite le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer.
Puis, renommer C:\Elibagla.XXXXX.exe en mdelk.exe
/!\ Attention, un mauvais renommage rendra l'astuce inefficace
- Si les extentions de fichiers sont visibles : Renommer ELIBAGLA.XXXXX.EXE -> mdelk.exe
- Si les extentions de fichiers ne sont pas visibles: Renommer ELIBAGLA.XXXXX -> mdelk
Pour exécuter Elibagla renommé :
Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (ou ouvrir le Menu Démarrer -> Exécuter)
Dans la boîte de dialogue "Exécuter" taper cmd
Valider
Dans la fenêtre de l'invite de commande qui s'ouvre, taper :
C:\mdelk.exe
Valider avec la touche [Entrée]
Si l'infection est pleinement active, l'outil va s'exécuter qu'il soit visible ou pas du système et se refermer assez rapidement, mais aura eu le temps de faire une partie essentielle de son job. (l'action directe)
-_-_-_-_-_-_-_-_-_-_-_-_-_-
Etape 2:
Redémarrer le pc, c'est très important.
Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
Dès que le menu principal d'Elibagla apparaîtra :
- Laisser la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan complet du pc.
Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître.
si cela ne fonctionne pas j'ai encore une autre astuce!
fais ceci
Etape 1 :
Supprimer la version d'Elibagla, et télécharger la dernière version de l'outil ici.
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Très important, enregistrer ou déplacer ensuite le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer.
Puis, renommer C:\Elibagla.XXXXX.exe en mdelk.exe
/!\ Attention, un mauvais renommage rendra l'astuce inefficace
- Si les extentions de fichiers sont visibles : Renommer ELIBAGLA.XXXXX.EXE -> mdelk.exe
- Si les extentions de fichiers ne sont pas visibles: Renommer ELIBAGLA.XXXXX -> mdelk
Pour exécuter Elibagla renommé :
Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (ou ouvrir le Menu Démarrer -> Exécuter)
Dans la boîte de dialogue "Exécuter" taper cmd
Valider
Dans la fenêtre de l'invite de commande qui s'ouvre, taper :
C:\mdelk.exe
Valider avec la touche [Entrée]
Si l'infection est pleinement active, l'outil va s'exécuter qu'il soit visible ou pas du système et se refermer assez rapidement, mais aura eu le temps de faire une partie essentielle de son job. (l'action directe)
-_-_-_-_-_-_-_-_-_-_-_-_-_-
Etape 2:
Redémarrer le pc, c'est très important.
Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
Dès que le menu principal d'Elibagla apparaîtra :
- Laisser la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan complet du pc.
Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître.
si cela ne fonctionne pas j'ai encore une autre astuce!
tu peux afficher les dossiers cachés
"Démarrer" dans la Barre des tâches
Cliquer sur "Panneau de configuration"
Cliquer sur "Options des dossiers"
Cliquer sur l'onglet "Affichage"
**dans fichiers et dossiers cachés:
Cocher "Afficher les fichiers et dossiers cachés"
Décocher "Masquer les extensions des fichiers dont le type est connu"
Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)"
**Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur OUI
Cliquer sur "Appliquer à tous les dossiers"
Cliquer sur "Ok"
essaye quand même de lancer Findykill
de plus tu as des autorun présent...pas bon ça
il y a une dernière manière de l'avoir
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes
Double-clique sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
"Démarrer" dans la Barre des tâches
Cliquer sur "Panneau de configuration"
Cliquer sur "Options des dossiers"
Cliquer sur l'onglet "Affichage"
**dans fichiers et dossiers cachés:
Cocher "Afficher les fichiers et dossiers cachés"
Décocher "Masquer les extensions des fichiers dont le type est connu"
Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)"
**Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur OUI
Cliquer sur "Appliquer à tous les dossiers"
Cliquer sur "Ok"
essaye quand même de lancer Findykill
de plus tu as des autorun présent...pas bon ça
il y a une dernière manière de l'avoir
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes
Double-clique sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
Salut,le rapport est bon,a part ces lignes superflues
relance Hijackthis(scan only) et coche ces lignes
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: UltraMon.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
clic sur fix checked
peux-tu relancer désinstaller Findykill puis le réinstaller;il controle très bien si bagle est encore présent
Télécharge FindyKill de Chiquitine29
Fais un clic droit sur le lien, enregister sous .....sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Dézippe le sur le bureau
Entre dans le dossier FindyKill
double clic sur FindyKill.exe
choisi l option 1 (recherche)
un rapport va s ouvrir, post le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
relance Hijackthis(scan only) et coche ces lignes
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = dynhost.inetcam.com;register.inetcam.com;
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\nnnOeeBS.dll (file missing)
O2 - BHO: (no name) - {F8337748-B6E1-465B-A10C-2515AFF11172} - C:\WINDOWS\system32\khFwTkLe.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: UltraMon.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1482476501-1078145449-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Libre service')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
clic sur fix checked
peux-tu relancer désinstaller Findykill puis le réinstaller;il controle très bien si bagle est encore présent
Télécharge FindyKill de Chiquitine29
Fais un clic droit sur le lien, enregister sous .....sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Dézippe le sur le bureau
Entre dans le dossier FindyKill
double clic sur FindyKill.exe
choisi l option 1 (recherche)
un rapport va s ouvrir, post le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
