Virus sévère
nktine
-
E..T -
E..T -
Bonjour,
J'ai un gros soucis avec mon pc. En fiat je me suis apercu lors d'un essaie de téléchargement sur le site de microsoft que j'étais le seul à ne pouvoir le télécharger. en poussant un peu , voici le constat que j'ai fait :
- avast et as aware n'ont rien remarqués
- mes anti-virus sont désactivés
- lorsque j'essaye de télécharger un anti-virus, le site est innaccessible, un en ligne idem.
- si je télécharge un anti-virus sur un autre pc et essaye de l'installer sur celui-ci, soit ca plante soit tout s'installe mais lorsque j'essaie de l'exécuter, >> application win32 non valide ....
-mes clés usb fonctionnent très mal (voire s'emblent s'infecter au contact ) donc pour l'instant m^me pas moyen d'utiliser hijack
Quequ'un aurait til une idée svvvvvvvvvvvvvp.
Merci d'avance
J'ai un gros soucis avec mon pc. En fiat je me suis apercu lors d'un essaie de téléchargement sur le site de microsoft que j'étais le seul à ne pouvoir le télécharger. en poussant un peu , voici le constat que j'ai fait :
- avast et as aware n'ont rien remarqués
- mes anti-virus sont désactivés
- lorsque j'essaye de télécharger un anti-virus, le site est innaccessible, un en ligne idem.
- si je télécharge un anti-virus sur un autre pc et essaye de l'installer sur celui-ci, soit ca plante soit tout s'installe mais lorsque j'essaie de l'exécuter, >> application win32 non valide ....
-mes clés usb fonctionnent très mal (voire s'emblent s'infecter au contact ) donc pour l'instant m^me pas moyen d'utiliser hijack
Quequ'un aurait til une idée svvvvvvvvvvvvvp.
Merci d'avance
A voir également:
- Virus sévère
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
43 réponses
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ben juste findykill, Antibagle-fr.exe mais que j'ai stoppé et j'avais d'autres type d'installés style ad-aware (trouve rien) , spybot (fonctionne plus), malware (rendu en erreur d'execution) et je dois pouvoir faire fonctionner ewido security suite mais qui fera peut être pas grand choses..
et si je lance Antibagle-fr.exe ca fera rien ?
et si je lance Antibagle-fr.exe ca fera rien ?
Salut
je prend la suite
supprime elibagla st
ensuite rééxécure findykill option 2 stp et post le rapport
je prend la suite
supprime elibagla st
ensuite rééxécure findykill option 2 stp et post le rapport
bonjour et merci d'avance de ton aide et du temps que vous passer à l'entraide, j'ai déjà supprimé celui là depuis un momment :( .
J'ai repris la procédure depuis le début car ca n'a pas l'air de fonctionner après le reboot. Bon voici de nouveau le fichier de l'option 1 ( tout frais de maintenant )
bon maintenant je lance l'option 2
J'ai repris la procédure depuis le début car ca n'a pas l'air de fonctionner après le reboot. Bon voici de nouveau le fichier de l'option 1 ( tout frais de maintenant )
----------------- FindyKill V4.005 ------------------
* User : HP_Administrateur - NOM-FB9B15D2723
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Recherche effectuée à 1:45:19 le 16/10/2008
* Windows XP - Internet Explorer 6.0.2900.2180
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\arservice.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
C:\Program Files\Transcode360\Transcode360Tray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\RMSysTry.exe
C:\Program Files\Red5\wrapper\wrapper.exe
C:\WINDOWS\ehome\RMSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.5.0_06\bin\java.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\ehome\McrdSvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\drivers\downld\691578.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system\hpsysdrv.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (908)
"C:\WINDOWS\system32\wintems.exe" (3700)
"C:\WINDOWS\system32\drivers\downld\691578.exe" (3260)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Présent ! - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\14750812.EXE-1EBBEAB8.pf
Present ! - C:\WINDOWS\prefetch\14753031.EXE-19A252DD.pf
Present ! - C:\WINDOWS\prefetch\14786781.EXE-2AEFA05E.pf
Present ! - C:\WINDOWS\prefetch\14792781.EXE-27AD6B06.pf
Present ! - C:\WINDOWS\prefetch\210921.EXE-0D18B64E.pf
Present ! - C:\WINDOWS\prefetch\253281.EXE-275DF960.pf
Present ! - C:\WINDOWS\prefetch\253578.EXE-25D74E20.pf
Present ! - C:\WINDOWS\prefetch\258437.EXE-390DA2F8.pf
Present ! - C:\WINDOWS\prefetch\262500.EXE-2BB726C7.pf
Present ! - C:\WINDOWS\prefetch\29583203.EXE-27D8014E.pf
Present ! - C:\WINDOWS\prefetch\29612453.EXE-0A1005A6.pf
Present ! - C:\WINDOWS\prefetch\29619718.EXE-2EBC470B.pf
Present ! - C:\WINDOWS\prefetch\29624343.EXE-085D48ED.pf
Present ! - C:\WINDOWS\prefetch\297421.EXE-2C551C6D.pf
Present ! - C:\WINDOWS\prefetch\305296.EXE-045F5ABC.pf
Present ! - C:\WINDOWS\prefetch\44146812.EXE-27955CE9.pf
Present ! - C:\WINDOWS\prefetch\44183312.EXE-0E548D3C.pf
Present ! - C:\WINDOWS\prefetch\44192734.EXE-0155A0CD.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-2982DDF3.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\14743890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14778000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14784000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14828640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\258000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\262500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29603640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\296390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29641000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\328140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\501390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\506250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\513000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\517000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\652390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\717640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14753031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14786781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14792781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14897921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\210921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\253281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\259421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\272281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\279921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\297421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\362421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44171171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44173281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\487421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\506531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\568531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\582281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\702171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\711171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14705562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14750812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14773312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\260062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29631812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29636312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\338062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44146812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44183312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44198812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\495812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\577812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\655312.exe
Present ! - C:\WINDOWS\system32\drivers\downld\695062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\704062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14722093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14763843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14861843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\244453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\245593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266703.exe
Present ! - C:\WINDOWS\system32\drivers\downld\267453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270953.exe
Present ! - C:\WINDOWS\system32\drivers\downld\274593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\278093.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29583203.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29612453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29624343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\379593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\476343.exe
Present ! - C:\WINDOWS\system32\drivers\downld\497593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\753203.exe
Present ! - C:\WINDOWS\system32\drivers\downld\784843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14803484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29601734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\328734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44192734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\477734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\479984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\500984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\511234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\635984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\712734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14771125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14888875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\236265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\255765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\353015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\471625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\509125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\648375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\720765.exe
Present ! - C:\WINDOWS\system32\drivers\downld\206046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\256796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\278156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\284406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\288156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\305296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\478796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\487046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\488296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\501796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\640406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\722156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\792156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14756187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14831937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\237937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\258437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\335687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\463437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\504437.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14725218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14775218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\223218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\238078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\244468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\253578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\264328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\265578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\273718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\275078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29619718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29720828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\478218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\488828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\492828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\510968.exe
Present ! - C:\WINDOWS\system32\drivers\downld\592218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\621578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\679718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\691578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\731218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\15163109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\241859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\246109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\269359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29708859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\345609.exe
Present ! - C:\WINDOWS\system32\drivers\downld\492859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\609359.exe
Present ! - C:\WINDOWS\system32\drivers\downld\624109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\726859.exe
»»»» Presence des fichiers dans C:\Documents and Settings\HP_Administrateur\Application Data
Présent ! - "C:\Documents and Settings\HP_Administrateur\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\HP_Administrateur\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\HP_Administrateur\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\HP_Administrateur\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\HP_Administrateur\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\HP_Administrateur\Application Data\m"
»»»» Presence des fichiers dans C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VirusKeeper REG_SZ C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
Transcode360 REG_SZ C:\Program Files\Transcode360\Transcode360Tray.exe
RTHDCPL REG_SZ RTHDCPL.EXE
regcmdcons REG_SZ c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
Recguard REG_SZ C:\WINDOWS\SMINST\RECGUARD.EXE
PCTAVApp REG_SZ "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
PCDrProfiler REG_SZ
nwiz REG_SZ nwiz.exe /install
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HPBootOp REG_SZ "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
googletalk REG_SZ C:\Program Files\Google\Google Talk\googletalk.exe /autostart
ehTray REG_SZ C:\WINDOWS\ehome\ehtray.exe
DMAScheduler REG_SZ "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
ClamWin REG_SZ "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
SVCHOST.EXE REG_SZ C:\WINDOWS\system32\drivers\svchost.exe
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2142978574-1531713108-4109396372-1007\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-2142978574-1531713108-4109396372-1007\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-2142978574-1531713108-4109396372-1007\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2142978574-1531713108-4109396372-1007\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2142978574-1531713108-4109396372-1007\Software\FirtR
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\FirtR
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur de CD-ROM
J: - Lecteur amovible
K: - Lecteur amovible
+- Contenu de l'autorun : D:\autorun.inf
[AUTORUN]
ShellExecute=Info.exe protect.ed 480 480
+- Contenu de l'autorun : E:\autorun.inf
[autorun]
OPEN=autorun.exe
ICON=logo\free.ico
[DeviceInstall]
DriverPath=\Drivers\FreeBOX
+- Contenu de l'autorun : J:\autorun.inf
[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com
+- Contenu de l'autorun : K:\autorun.inf
[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com
+- presence des fichiers :
Présent ! - D:\autorun.inf
Présent ! - D:\info.exe
Présent ! - E:\autorun.inf
Présent ! - J:\autorun.inf
Présent ! - K:\autorun.inf
Présent ! - K:\nideiect.com
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1ff305e0-6f44-11dd-a88f-0014a5e5c5d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1ff305e0-6f44-11dd-a88f-0014a5e5c5d6}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1ff305e0-6f44-11dd-a88f-0014a5e5c5d6}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
bon maintenant je lance l'option 2
re
tu as supprimé elibagla ??
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 2 (Suppression)
/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
-------> ensuite post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
tu as supprimé elibagla ??
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 2 (Suppression)
/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
-------> ensuite post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
voila les news : à chaque fois que je redémarrais avec l'option 2 :
- soit un message d'erreur critique windows puis rien ..
Soit l'écran du bureau se bloque puis... rien
Pour être sûr de ne pas être trop impatient et que cela ne soit pas de ma faute que le prog ne fonctionne pas j'ai lancé l'option 2 avec les phénomènes que tu décris (bureau bloqué) et laissé toute la nuit ...
ce matin : tjs bloqué (redémarrage obligé ; je penses pas que lorsque tu disais soyez patient ca voulair dire : attendez 4 h devant votre pc) et je regardes sous c: pour le rapport : disparu !!!
- soit un message d'erreur critique windows puis rien ..
Soit l'écran du bureau se bloque puis... rien
Pour être sûr de ne pas être trop impatient et que cela ne soit pas de ma faute que le prog ne fonctionne pas j'ai lancé l'option 2 avec les phénomènes que tu décris (bureau bloqué) et laissé toute la nuit ...
ce matin : tjs bloqué (redémarrage obligé ; je penses pas que lorsque tu disais soyez patient ca voulair dire : attendez 4 h devant votre pc) et je regardes sous c: pour le rapport : disparu !!!
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau
-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Une fois fait, sur ton bureau double-clic sur killbagle.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau
-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Une fois fait, sur ton bureau double-clic sur killbagle.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
bonjour, malheureusement on a déjà tenté la manip hier et il ne veut pas copier le fichier .bat à l'install ! (voir post plus haut).
Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)
http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
voici le infostat :
et le KB :
Thu Oct 16 18:23:17 2008 EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit) C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle C:\DOCUMENTS AND SETTINGS\HP_ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle Thu Oct 16 18:23:39 2008 EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ JA SUBMIT.ZIP -> BagleC:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr 20080602190422.ZIP -> BagleC:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\1248656.EXE --> Eliminado Bagle.VR C:\WINDOWS\system32\drivers\downld\1271062.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\1274953.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\14743890.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\14750812.EXE --> Eliminado Bagle.VR C:\WINDOWS\system32\drivers\downld\14756187.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\14763843.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\14786781.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\14792781.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\248343.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\251984.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\253578.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\255765.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\258437.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\259015.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\259421.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\260062.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\261796.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\262500.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\263328.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\264328.EXE --> Eliminado Bagle.VR C:\WINDOWS\system32\drivers\downld\268953.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\270500.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\273000.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\273718.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\284281.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\288671.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\293875.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\29612453.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\29619718.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\29624343.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\297421.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\44183312.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\44192734.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\487046.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\488296.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\492828.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\492859.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\495812.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\497593.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\500984.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\504437.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\635984.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\640406.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\691578.EXE --> Eliminado Bagle.VR C:\WINDOWS\system32\drivers\downld\711171.EXE --> Eliminado Bagle C:\WINDOWS\system32\drivers\downld\717640.EXE --> Eliminado Bagle Nº Total de Directorios: 42718 Nº Total de Ficheros: 396747 Nº de Ficheros Analizados: 22943 Nº de Ficheros Infectados: 51 Nº de Ficheros Limpiados: 51
et le KB :
KB : Exécuté le : 16/10/2008 à 18:23:02 +- Processus infectieux actifs : - Aucun processus infectieux en cours d'utilisation. +- Suspect/Themida C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" +- Affichage des fichiers cachés : - Réparé. +- Service Ndisuio : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio] Start REG_DWORD 4 (0x4) [SC] ChangeServiceConfig SUCCESS [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio] Start REG_DWORD 3 (0x3) +- Fin du rapport
j'ai mis du temps car le post ne passait pas (??!!)
voici le fichier : http://www6.allsecurite.com/?tdfs=1&kw=LMS+Training+System&term=Safety%20Online%20Learning%20Management%20System&term=LMS%20Training%20System&term=Job%20Posting%20Board&backfill=0
voici le fichier : http://www6.allsecurite.com/?tdfs=1&kw=LMS+Training+System&term=Safety%20Online%20Learning%20Management%20System&term=LMS%20Training%20System&term=Job%20Posting%20Board&backfill=0
Télécharge HijackThis (outils de dignostic) ici :
-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> ftp://ftp.commentcamarche.com/download/HJTInstall.exe
-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
-> Clique sur Install ensuite sur I Accept
-> Clique sur Do a scan system and save log file
-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> ftp://ftp.commentcamarche.com/download/HJTInstall.exe
-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
-> Clique sur Install ensuite sur I Accept
-> Clique sur Do a scan system and save log file
-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
Telecharge malwarebytes
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
voici le rapport :
Malwarebytes' Anti-Malware 1.28 Version de la base de données: 1276 Windows 5.1.2600 Service Pack 2 16/10/2008 22:20:54 mbam-log-2008-10-16 (22-20-54).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 465647 Temps écoulé: 1 hour(s), 36 minute(s), 33 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 2 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 2 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 11 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> Quarantined and deleted successfully. Dossier(s) infecté(s): C:\Casino (Adware.Casino) -> Quarantined and deleted successfully. Fichier(s) infecté(s): C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\dduyececya_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\dduyececya_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\dduyececya.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. C:\Program Files\all_securite\tball1.dll (Adware.Shopper) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\Services.exe (Backdoor.ProRat) -> Quarantined and deleted successfully.
réouvre malewarebyte
va sur quarantaine
supprime tout
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Tuto: http://www.malekal.com/Adware.Magic_Control.php
va sur quarantaine
supprime tout
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Tuto: http://www.malekal.com/Adware.Magic_Control.php
ok voici le rapport
Search Navipromo version 3.6.6 commencé le 16/10/2008 à 22:30:04,60 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Postez ce rapport sur le forum pour le faire analyser !!! !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!! Outil exécuté depuis C:\Program Files\navilog1 Session actuelle : "HP_Administrateur" Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO Microsoft Windows XP [version 5.1.2600] Internet Explorer : 6.0.2900.2180 Système de fichiers : Recherche executé en mode normal *** Recherche Programmes installés *** *** Recherche dossiers dans "C:\WINDOWS" *** *** Recherche dossiers dans "C:\Program Files" *** *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" *** *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" *** *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" *** *** Recherche dossiers dans "C:\Documents and Settings\HP_Administrateur\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX1~1.NOM\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX2\applic~1" *** *** Recherche dossiers dans "C:\Documents and Settings\HP_Administrateur\locals~1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX1\locals~1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX1~1.NOM\locals~1\applic~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX2\locals~1\applic~1" *** *** Recherche dossiers dans "C:\Documents and Settings\HP_Administrateur\menudm~1\progra~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX1\menudm~1\progra~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX1~1.NOM\menudm~1\progra~1" *** *** Recherche dossiers dans "C:\DOCUME~1\MCX2\menudm~1\progra~1" *** *** Recherche avec Catchme-rootkit/stealth malware detector par gmer *** pour + d'infos : http://www.gmer.net Scan Catchme non réalisé. Droits limités sur la session actuelle. *** Recherche avec GenericNaviSearch *** !!! Tous ces résultats peuvent révéler des fichiers légitimes !!! !!! A vérifier impérativement avant toute suppression manuelle !!! * Recherche dans "C:\WINDOWS\system32" * * Recherche dans "C:\Documents and Settings\HP_Administrateur\locals~1\applic~1" * * Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * * Recherche dans "C:\DOCUME~1\MCX1\locals~1\applic~1" * * Recherche dans "C:\DOCUME~1\MCX1~1.NOM\locals~1\applic~1" * * Recherche dans "C:\DOCUME~1\MCX2\locals~1\applic~1" * *** Recherche fichiers *** *** Recherche clés spécifiques dans le Registre *** *** Module de Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche nouveaux fichiers Instant Access : 2)Recherche Heuristique : * Dans "C:\WINDOWS\system32" : * Dans "C:\Documents and Settings\HP_Administrateur\locals~1\applic~1" : * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : * Dans "C:\DOCUME~1\MCX1\locals~1\applic~1" : * Dans "C:\DOCUME~1\MCX1~1.NOM\locals~1\applic~1" : * Dans "C:\DOCUME~1\MCX2\locals~1\applic~1" : 3)Recherche Certificats : Certificat Egroup absent ! Certificat Electronic-Group absent ! Certificat Montorgueil absent ! Certificat OOO-Favorit absent ! Certificat Sunny-Day-Design-Ltd absent ! 4)Recherche fichiers connus : *** Analyse terminée le 16/10/2008 à 22:30:47,73 ***
