Attaque par virus baggle
Fermé
lolopodo
-
16 oct. 2008 à 07:39
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 20 oct. 2008 à 10:07
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 20 oct. 2008 à 10:07
A voir également:
- Driver unloaded without cancelling pending operations
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus iphone - Forum iPhone
- Myavids virus ✓ - Forum Téléphones & tablettes Android
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
103 réponses
Utilisateur anonyme
16 oct. 2008 à 23:51
16 oct. 2008 à 23:51
Salut
ça pex arriver c est le fichier srosa.sys (infecté) qu i réagit
recommence l option 2 de findyKill STP
ça pex arriver c est le fichier srosa.sys (infecté) qu i réagit
recommence l option 2 de findyKill STP
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
16 oct. 2008 à 08:53
16 oct. 2008 à 08:53
Salut lolopodo,
Infection par un bagle :
1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)
2- Télécharges FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistres le sur ton bureau et pas ailleurs !
!! Déconnectes toi et fermes toute applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...
Une fois terminé, postes le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Infection par un bagle :
1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)
2- Télécharges FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistres le sur ton bureau et pas ailleurs !
!! Déconnectes toi et fermes toute applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...
Une fois terminé, postes le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
16 oct. 2008 à 23:00
16 oct. 2008 à 23:00
Re,
je me demande s'il y a pas un rootkit
C'est exactement cela ! ^^
la suite :
1- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...
2- Relances FindyKill :
-> choisis cette fois-ci l'option 2 .
/!\ il y aura 2 redémarrages !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
je me demande s'il y a pas un rootkit
C'est exactement cela ! ^^
la suite :
1- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...
2- Relances FindyKill :
-> choisis cette fois-ci l'option 2 .
/!\ il y aura 2 redémarrages !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
elvega
Messages postés
368
Date d'inscription
jeudi 13 mars 2008
Statut
Membre
Dernière intervention
2 juillet 2009
14
16 oct. 2008 à 07:57
16 oct. 2008 à 07:57
c'est quoi tout sa??
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 oct. 2008 à 08:55
16 oct. 2008 à 08:55
salut
Ca, c'est le rapport de GenProc
Ca, c'est le rapport de GenProc
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci de vos réponses.
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
merci de vos réponses.
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
----------------- FindyKill V4.005 ------------------
* User : Laurent - LJDOM
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Recherche effectuée à 22:36:24 le 16/10/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Gravure\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe
D:\Program Files\Lecteurs\CyberLink\Power2Go\Power2GoExpress.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\VolumeTracker.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\DU Meter\DUMeterSvc.exe
D:\PROGRA~1\MICROS~1\rapimgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\Laurent\Application Data\m\flec006.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\Documents and Settings\Laurent\Bureau\RootkitRevealer\RootkitRevealer.exe
C:\DOCUME~1\Laurent\LOCALS~1\Temp\VUQLGQN.exe
C:\WINDOWS\explorer.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (1900)
"C:\WINDOWS\system32\wintems.exe" (752)
"C:\Documents and Settings\Laurent\Application Data\m\flec006.exe" (300)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Présent ! - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\127734.EXE-1D1C716E.pf
Present ! - C:\WINDOWS\prefetch\14667828.EXE-09122331.pf
Present ! - C:\WINDOWS\prefetch\14675156.EXE-0907A741.pf
Present ! - C:\WINDOWS\prefetch\147093.EXE-10B334A7.pf
Present ! - C:\WINDOWS\prefetch\151453.EXE-363F821A.pf
Present ! - C:\WINDOWS\prefetch\154359.EXE-3201D1EF.pf
Present ! - C:\WINDOWS\prefetch\317187.EXE-0B082BFA.pf
Present ! - C:\WINDOWS\prefetch\318453.EXE-1C3C59E6.pf
Present ! - C:\WINDOWS\prefetch\339718.EXE-21EDA7CC.pf
Present ! - C:\WINDOWS\prefetch\349921.EXE-255DCA5A.pf
Present ! - C:\WINDOWS\prefetch\396984.EXE-09C18154.pf
Present ! - C:\WINDOWS\prefetch\420156.EXE-130197A8.pf
Present ! - C:\WINDOWS\prefetch\429531.EXE-30DFE5F3.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-1CF87B3B.pf
Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0728C169.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-2B713A85.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-04D8B84E.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\down"
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\124890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\126140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\330000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\436390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\522250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\593140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\129031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\134781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14686671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\179031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\341671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\349921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\437921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46236421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46240421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\480281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\492781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\512031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14683562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14748812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\259062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\355062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46190812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\515062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14633593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14660593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\318453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\127734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\140234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14661484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\201484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\231484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\309984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\396984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46244484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\105125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\108375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\161875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\278015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\410265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\411125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\450625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\518125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\530625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\114156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\194046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\199406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\206156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\213296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\261546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\445156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\456156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46191906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46333406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14740687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\215937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\226687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46312187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\163468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\175828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\183328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\184218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\222328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\274578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\339718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\368078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\408718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\491218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14680109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\328859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\601609.exe
»»»» Presence des fichiers dans C:\Documents and Settings\Laurent\Application Data
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m"
»»»» Presence des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
Acrobat Assistant 8.0 REG_SZ "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
MagicSpeed REG_SZ D:\Program Files\SAMSUNG\Magic Speed\MagicSL.exe /autorun
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
McAfeeUpdaterUI REG_SZ "D:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
Sony Ericsson PC Suite REG_SZ "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
BDRegion REG_SZ C:\Program Files\Cyberlink\Shared Files\brs.exe
RemoteControl REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe"
LanguageShortcut REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\Language\Language.exe"
InstantBurn REG_SZ D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
LGODDFU REG_SZ "D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe" blrun
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools REG_SZ "D:\Program Files\Gravure\DAEMON Tools\daemon.exe" -lang 1033
EVEREST AutoStart REG_SZ F:\Program Files\EVEREST Ultimate Edition\everest.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
LightScribe Control Panel REG_SZ C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
Uniblue SpeedUpMyPC REG_SZ D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
H/PC Connection Agent REG_SZ "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\MuleAppData
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\FirtR
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
H: - Lecteur fixe
J: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
----------------- FindyKill V4.005 ------------------
* User : Laurent - LJDOM
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Recherche effectuée à 22:36:24 le 16/10/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Gravure\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe
D:\Program Files\Lecteurs\CyberLink\Power2Go\Power2GoExpress.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\VolumeTracker.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\DU Meter\DUMeterSvc.exe
D:\PROGRA~1\MICROS~1\rapimgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\Laurent\Application Data\m\flec006.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\Documents and Settings\Laurent\Bureau\RootkitRevealer\RootkitRevealer.exe
C:\DOCUME~1\Laurent\LOCALS~1\Temp\VUQLGQN.exe
C:\WINDOWS\explorer.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (1900)
"C:\WINDOWS\system32\wintems.exe" (752)
"C:\Documents and Settings\Laurent\Application Data\m\flec006.exe" (300)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Présent ! - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\127734.EXE-1D1C716E.pf
Present ! - C:\WINDOWS\prefetch\14667828.EXE-09122331.pf
Present ! - C:\WINDOWS\prefetch\14675156.EXE-0907A741.pf
Present ! - C:\WINDOWS\prefetch\147093.EXE-10B334A7.pf
Present ! - C:\WINDOWS\prefetch\151453.EXE-363F821A.pf
Present ! - C:\WINDOWS\prefetch\154359.EXE-3201D1EF.pf
Present ! - C:\WINDOWS\prefetch\317187.EXE-0B082BFA.pf
Present ! - C:\WINDOWS\prefetch\318453.EXE-1C3C59E6.pf
Present ! - C:\WINDOWS\prefetch\339718.EXE-21EDA7CC.pf
Present ! - C:\WINDOWS\prefetch\349921.EXE-255DCA5A.pf
Present ! - C:\WINDOWS\prefetch\396984.EXE-09C18154.pf
Present ! - C:\WINDOWS\prefetch\420156.EXE-130197A8.pf
Present ! - C:\WINDOWS\prefetch\429531.EXE-30DFE5F3.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-1CF87B3B.pf
Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0728C169.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-2B713A85.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-04D8B84E.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\down"
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\124890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\126140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\330000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\436390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\522250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\593140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\129031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\134781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14686671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\179031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\341671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\349921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\437921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46236421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46240421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\480281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\492781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\512031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14683562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14748812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\259062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\355062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46190812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\515062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14633593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14660593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\318453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\127734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\140234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14661484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\201484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\231484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\309984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\396984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46244484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\105125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\108375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\161875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\278015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\410265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\411125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\450625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\518125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\530625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\114156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\194046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\199406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\206156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\213296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\261546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\445156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\456156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46191906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46333406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14740687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\215937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\226687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46312187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\163468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\175828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\183328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\184218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\222328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\274578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\339718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\368078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\408718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\491218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14680109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\328859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\601609.exe
»»»» Presence des fichiers dans C:\Documents and Settings\Laurent\Application Data
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m"
»»»» Presence des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
Acrobat Assistant 8.0 REG_SZ "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
MagicSpeed REG_SZ D:\Program Files\SAMSUNG\Magic Speed\MagicSL.exe /autorun
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
McAfeeUpdaterUI REG_SZ "D:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
Sony Ericsson PC Suite REG_SZ "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
BDRegion REG_SZ C:\Program Files\Cyberlink\Shared Files\brs.exe
RemoteControl REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe"
LanguageShortcut REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\Language\Language.exe"
InstantBurn REG_SZ D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
LGODDFU REG_SZ "D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe" blrun
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools REG_SZ "D:\Program Files\Gravure\DAEMON Tools\daemon.exe" -lang 1033
EVEREST AutoStart REG_SZ F:\Program Files\EVEREST Ultimate Edition\everest.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
LightScribe Control Panel REG_SZ C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
Uniblue SpeedUpMyPC REG_SZ D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
H/PC Connection Agent REG_SZ "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\MuleAppData
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\FirtR
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
H: - Lecteur fixe
J: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
elvega
Messages postés
368
Date d'inscription
jeudi 13 mars 2008
Statut
Membre
Dernière intervention
2 juillet 2009
14
16 oct. 2008 à 23:04
16 oct. 2008 à 23:04
s'il y avait un rapport hijackthis je l'aurais repérer.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
16 oct. 2008 à 23:08
16 oct. 2008 à 23:08
il y a peu de chance car le Bagle à la facheuse tendance à shooter pas mal de prg ... hijackths compris ... c'est plutôt rare que celui-ci fonctionne en sa présence ...
A+
A+
elvega
Messages postés
368
Date d'inscription
jeudi 13 mars 2008
Statut
Membre
Dernière intervention
2 juillet 2009
14
16 oct. 2008 à 23:11
16 oct. 2008 à 23:11
renommer hijackthise !! sa ne fonctionnera pas aussi ?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
16 oct. 2008 à 23:16
16 oct. 2008 à 23:16
Peu de chance aussi ... mais cela peu marcher à condition de le renommer au téléchargement ...
bref ... évitons de trop surcharger le topic ... merci ;)
bref ... évitons de trop surcharger le topic ... merci ;)
alors je confirme que hijackths est bloqué aussi
nouveauté
y a un message d'erreur :
"impossible de trouver le moteur de script vbscript pour le script findykill\tools\avert.vbs"
aiee
nouveauté
y a un message d'erreur :
"impossible de trouver le moteur de script vbscript pour le script findykill\tools\avert.vbs"
aiee
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
16 oct. 2008 à 23:41
16 oct. 2008 à 23:41
Quand tu as l'ecran bleu : presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
dis moi si ton bureau réapparait ...
tapes explorer.exe et valides .
dis moi si ton bureau réapparait ...
Héhé j'arrive les gars
çà ne marche pas çà fait la même chose
si j'essayais en sans echec?
çà ne marche pas çà fait la même chose
si j'essayais en sans echec?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
17 oct. 2008 à 00:07
17 oct. 2008 à 00:07
normalement le mode sans échec doit être naze ....
fais ceci alors :
1- Supprimer Findykill proprement :
* Relances l'outil , et cette fois choisis l'option 3 pour le désinstaller ...
Supprimes aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .
2- fais exactement ce qui suit :
Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides .
- le renommage au téléchargement est primordial pour contrer Bagle, sinon l'outil sera inutilisable -
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .
Appuyes sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée dans: C:\Combofix.txt
Postes le rapport Combofix pour analyse ...
fais ceci alors :
1- Supprimer Findykill proprement :
* Relances l'outil , et cette fois choisis l'option 3 pour le désinstaller ...
Supprimes aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .
2- fais exactement ce qui suit :
Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides .
- le renommage au téléchargement est primordial pour contrer Bagle, sinon l'outil sera inutilisable -
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .
Appuyes sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée dans: C:\Combofix.txt
Postes le rapport Combofix pour analyse ...
prog désinstallé mais message d'erreur à la fin: c:\windows\system32\command.com NTVDM a rencontré une erreur systeme descripteur non valide
....
ensuite pour combofix, ce n'est pas évident cette saleté le bloquait
là il a démarré difficilement et me demande la console de récupération systeme
qu'il me faut installer
quelle bande de connnnnns ces types qui font perdre du temps aux autres.
....
ensuite pour combofix, ce n'est pas évident cette saleté le bloquait
là il a démarré difficilement et me demande la console de récupération systeme
qu'il me faut installer
quelle bande de connnnnns ces types qui font perdre du temps aux autres.
elvega
Messages postés
368
Date d'inscription
jeudi 13 mars 2008
Statut
Membre
Dernière intervention
2 juillet 2009
14
17 oct. 2008 à 00:38
17 oct. 2008 à 00:38
on peut pas analyser sa "srosa.sys " avec un antivirus en ligne. sa crain.....
Utilisateur anonyme
17 oct. 2008 à 00:41
17 oct. 2008 à 00:41
RE
Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)
http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)
http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
17 oct. 2008 à 00:43
17 oct. 2008 à 00:43
Tu veux t'en occuper ?
je te laisses faire ... je vais suivre avec attention ... ^^
je te laisses faire ... je vais suivre avec attention ... ^^
resalut j'ai finit par lancer combofix sans installer la console de recup.
Il m'a bien détecté la présence de rootkit et me demande de redémarrer la machine.
Il m'a bien détecté la présence de rootkit et me demande de redémarrer la machine.
elvega
Messages postés
368
Date d'inscription
jeudi 13 mars 2008
Statut
Membre
Dernière intervention
2 juillet 2009
14
17 oct. 2008 à 00:46
17 oct. 2008 à 00:46
désoler de vous interrompre je peux savoir qu'elle genre de virus a t'il chopé?
16 oct. 2008 à 23:53
j'allais justement te prévenir ^^