Enorme virus sur mon pc portable !!!!!

Gabithemind Messages postés 19 Statut Membre -  
 InfernO.vir -
Bonjour à tous,

Après avoir téléchargé une vidéo sur eMule j'ai donc double cliqué sur la video et là plantage :
Ecran bleu, message d'erreur disant que WINDOWS a été arrêté pour éviter tout dommage, etc...
Je redémarre et là surprise mes logiciels de protection/nettoyage ont disparus ( Avira AntiVir, SpyBot, Ccleaner ) plus aucune trace. Je regarde le poste de travail je vois que j'ai perdu 25go de données !!!
Heureusement les photos sont restées, je me suis empressé de tout copier sur Clé usb.
Pour pas regretter au cas où je devrais tout réinstaller...
Bon, un logiciel de protection est resté : MalwayreByte's Anti-Malware
Je le lance et je fais une analyse.
Super je vois qu'il a trouvé des infections qui se trouvent dans C:\WINDOWS\System32\Drivers\Downld
Bien cachées donc, il les supprime et me demande de redémarrer : Je le fait
Hors je contaste que l'ordinateur ralentit encore énormément, donc je branche internet et à peine le câble branché
Malwarebytes détecte encore des fichiers infectés qui s'installent pendant que j'ai internet branché
Dans le même dossier que précédemment ( C:\WINDOWS\System32\Drivers\Downld )
Cette fois je vais dans le poste de travail et j'écris moi-même l'arborescence du dossier
Donc : C:\WINDOWS\System32\Drivers\Downld
Je me retrouve dans le dossier et je vois plusieurs fichiers ce sont donc ceux que le vers a installé, je les supprime moi-même, ils s'en vont mais à peine 2 minutes plus tard Malwarebytes détecte encore un retour, en fait moi je vois ça comme ça : Mon antimalware détecte simplement les enfants donc il supprime les enfants mais la mère reste cachée en quelque sorte et donc la mère refait des enfants dès que je me branche au net.
Puis même quand j'ai rien de lancé le pc ralentit énormément, je n'ai plus accès au ModeSansEchec, un message d'erreur m'indiquant que Windows a été arrêté afin d'éviter tout dommage s'affiche lorsque je tente de lancer le MSE plusieurs fichiers ont donc disparus, le vers est toujours là et n'est pas prêt de partir.
Pire : Lorsque je tente d'installer des logiciels de protection que j'ai sur clé usb ils sont bloqués par le vers : Un message d'erreur sur fond bleu s'affiche encore et me reboot le pc !

Je ne peux pas accéder à internet, le seul programme accessible semble être Windows Live Messenger.
Certainement pour que le vers puisse choper mes coordonnées et infos personnelles ( vu que je vois une icone MAIL dans le dossier C:\WINDOWS\System32\Drivers\Downld )
Le pc chauffe énormément et fait un gros bruit certainement que le vers pousse les ressources, je ne vois rien de spécial dans les processus.
A part le formatage, je ne vois rien d'autre à faire, mais le problème est là justement :
Le PC refuse tout formatage par n'importe quel moyen !
Il refuse de booter via mon CD de GHOST, il refuse le formatage, il m'empêche d'installer et d'éxécuter de nouveaux programme, Il monte la température du PC à plus de 70°, bref, je suis dans une impasse...

Voici des copies d'écran de l'endroit où me renvoie MalwayreByte's, là où se trouvent les vers :
http://imageshack.com/f/1jdonnescolles315dta6j

Si vous savez quoi faire, si vous avez une idée, par pitié, faites le moi savoir, je suis paumé complet là.

Merci beaucoup pour votre aide.
Configuration: COMPAQ PRESARIO R4000
WINDOWS XP
1200Mo de RAM
Navigateur : FIREFOX

37 réponses

  • 1
  • 2
Résumé de la discussion

Une infection complexe survient après le téléchargement d'une vidéo: écran bleu, disparition des protections et lenteur extrême, avec des fichiers malveillants cachés dans C:\WINDOWS\System32\Drivers\Downld qui se réinstallent via le réseau. Plusieurs tentatives de nettoyage sont décrites: Malwarebytes détecte et supprime des éléments, mais des composants persistent et se réparent dès qu'une connexion internet est active. Des outils comme ComboFix et HijackThis sont utilisés pour repérer les traces, débusquer les éléments autoruns et les pilotes modifiés, mais l'infection évolue et complique le formatage et le boot. En cas d'indisponibilité de méthodes conventionnelles, l'échec du boot et l'augmentation de la température indiquent une menace persistante qui peut nécessiter une réinstallation complète et vérifiée du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. InfernO.vir
     
    Bonsoir,

    Tu ecris d'un autre PC ? peut-tu tout de meme telecharger sur le net ? tu es infecté par bagle !!
    0
  2. Utilisateur anonyme
     
    pour ne pas avoir ce genre d infection , Avast 4 sur XP SP3 est meilleur car il a un bouclier peer to peer
    filtrant tous les P2P , là vu les clés que j ai vu sur imageshack , il me semble que ton ordinateur a
    été verrouillé , et Malwarebytes tu l as en gratuit ? car en gratuit tu ne peut activer la protection que
    pour 30 jours , une solution: re flashé le bios sur une disquette Floppy si tu as un lecteur Floppy
    va sur le site de ta carte mère et charge le fichier : Fix erreurs , apres tu mets ta disquette dans le floppy
    reboot > ALT F2 pour booter sur le floppy , cela va chercher le nom et référence de ta carte mère
    message disant : ne trouve pas : nom carte mère.rom , apres sur la disquette tu renommes le fichier
    carte mère.rom et tu remet la disquette dans le floppy et cela te remet le bios original , car ton bios a peut etre été atteint par ton infection

    tout cela si tu as un lecteur Floppy , bien sur , bye
    0
  3. Gabithemind Messages postés 19 Statut Membre
     
    Bonjour,

    Comment sais-tu qu'il s"agit de BAGLE ?
    En effet, je suis sur un autre PC.

    Merci pour l'aide que tu pourras m'apporter.
    0
  4. Gabithemind Messages postés 19 Statut Membre
     
    Merci vistouille, mais je n'ai pas de lecteur de disquette.
    Lecteur CD/DVD juste.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. InfernO.vir
     
    Ce sont les symptome de bagle-> plus d'internet, plus de logiciels de protectiosn et surtout tu m'a donné une indication-->C:\WINDOWS\System32\Drivers\Downld <-- c'est le dossier specifique a Bagle,

    Confirme moi si je peux te faire telecharger des fix pour nettoyer ton pc en passant par ta clé usb, a moins que tu puisse le faire directement du pc infecté ?

    0
  7. Utilisateur anonyme
     
    charge Elibagla ici tout en bas de la page et lis bien tous les posts de ce forum
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    forum

    http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/infection-application-valide-sujet_39710_1.htm

    ce problème a été résolu sur un Vista mais fonctionne aussi Sur XP
    0
  8. InfernO.vir
     
    Tu me laisse faire stp !

    ne telecharge pas elibagla je te prepare autre chose !
    0
  9. Gabithemind Messages postés 19 Statut Membre
     
    Merci pour ton aide Inferno.
    Tu peux m'envoyer les fix (PS : Je sais pas ce que c'est), je les récupèrerai via ce PC et je les balancerai via USB sur mon PC PORTABLE.

    Merci énormément, je suis complètement perdu.

    Merci pour ton aide.
    0
  10. Utilisateur anonyme
     
    ben , je te laisse faire puisque apparament tu connais !!! LOL , on verra le résultat !!!
    0
  11. InfernO.vir
     
    Tu me fait marrer, tu te prends pour qui ?? tu crois que je ne sais pas maitriser bagle ?? j'en ai soigné plus que toi il me semble non ? regarde mes sujets ds mon profil !! attends donc le resultat je serais ravi de te voir baver devant la suppression de cette merde !
    0
  12. Gabithemind Messages postés 19 Statut Membre
     
    Vous battez pas ^^
    Vous êtes ici tous les deux pour m'aider, c'est ça qui est génial !!
    Bon, je lance l'option 1 et je vous envoie le rapport d'ici quelques minutes.

    Merci à vous deux (enfin, surtout à toi INFERNO ^^)
    0
  13. InfernO.vir
     
    Ok j'attends ton rapport ;-)

    C'est ce genre de personne qui m'exaspere ! ca se prend pour le Ô grand informaticien mais ca ne sait meme pas utiliser Hijackthis !
    0
  14. Gabithemind Messages postés 19 Statut Membre
     
    Voici le rapport :

    ----------------- FindyKill V4.095 ------------------

    * User : Admin - SPECMEDIAXPBYJE
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 24/10/08 par Chiquitine29
    * Recherche effectuée à 22:19:10 le 28/10/2008
    * Windows XP - Internet Explorer 7.0.5730.11

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    C:\Program Files\Spyware Doctor - Ok\pctsAuxs.exe
    C:\Program Files\Spyware Doctor - Ok\pctsSvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Spyware Doctor - Ok\pctsTray.exe
    C:\WINDOWS\system32\drivers\winfilse.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe

    --------------- [ Processus infectieux stoppés ] ----------------

    "C:\WINDOWS\system32\drivers\winfilse.exe" (1884)

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    Present ! - C:\WINDOWS\prefetch\WINFILSE.EXE-17C2CF68.pf

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    Présent ! [28/10/2008 21:26] - C:\WINDOWS\system32\mdelk.exe
    Présent ! [28/10/2008 21:26] - C:\WINDOWS\system32\wintems.exe

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    Présent ! [28/10/2008 21:18] - C:\WINDOWS\system32\drivers\srosa.sys
    Présent ! [15/08/2004 06:01] - C:\WINDOWS\system32\drivers\winfilse.exe
    Présent ! [28/10/2008 21:26] - "C:\WINDOWS\system32\drivers\downld"
    Présent ! [28/10/2008 21:26] C:\WINDOWS\system32\drivers\downld\527843.exe
    Présent ! [28/10/2008 21:26] C:\WINDOWS\system32\drivers\downld\578234.exe
    Présent ! [28/10/2008 21:26] C:\WINDOWS\system32\drivers\downld\582515.exe
    Présent ! [28/10/2008 21:26] C:\WINDOWS\system32\drivers\downld\612328.exe

    »»»» Presence des fichiers dans C:\Documents and Settings\Admin\Application Data

    Présent ! [28/10/2008 18:36] - "C:\Documents and Settings\Admin\Application Data\m\flec006.exe"
    Présent ! [28/10/2008 18:36] - "C:\Documents and Settings\Admin\Application Data\m"

    »»»» Presence des fichiers dans C:\DOCUME~1\Admin\LOCALS~1\Temp

    --------------- [ Registre / Startup ] ----------------

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    ZoneAlarm Client REG_SZ "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
    avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    ISTray REG_SZ "C:\Program Files\Spyware Doctor - Ok\pctsTray.exe"

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    RocketDock REG_SZ "C:\Program Files\RocketDock\RocketDock.exe"
    msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

    --------------- [ Registre / Clés infectieuses ] ----------------

    Présent ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\Local AppWizard-Generated Applications\nideiect
    Présent ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\Local AppWizard-Generated Applications\winfilse
    Présent ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\bisoft
    Présent ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\FFC
    Présent ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\FirtR
    Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
    Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
    Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Présent ! - HKEY_CURRENT_USER\Software\bisoft
    Présent ! - HKEY_CURRENT_USER\Software\FirtR

    --------------- [ Etat / Services ] ----------------

    Clé manquante : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

    -> Affichage des fichiers cachés non fonctionnel !!

    Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

    -> Mode sans echec non fonctionnel !!

    Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

    -> Mode sans echec non fonctionnel !!

    Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

    -> Mode sans echec non fonctionnel !!

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]

    /!\ Ndisuio - Type de démarrage = 4

    EapHost - Type de démarrage = 3

    /!\ Ip6Fw - Type de démarrage = 4

    /!\ SharedAccess - Type de démarrage = 4

    /!\ wuauserv - Type de démarrage = 4

    /!\ wscsvc - Type de démarrage = 4

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- presence des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    -> Recherche négative.

    ------------------- ! Fin du rapport ! --------------------
    0
  15. InfernO.vir
     
    -Relance Findykill avec l'option 2 (suppression)

    Apres ca :

    - Télécharge HiJackThis de Merijn sur ton bureau.

    - Double-clic sur HijackThis

    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note

    - Colle le rapport ici, pour cela :
    - Menu Edition / Selectionner Tout
    - Menu Edition / copier
    - Ici dans un nouveau message : clic droit / coller

    Aide : N'hésite pas à consulter l'aide HiJackThis -

    0
  16. Gabithemind Messages postés 19 Statut Membre
     
    En lançant l'option 2, mon PC a redémarré et je me retrouve sur une fenêtre rouge (comme dans l'explication) avec en plein milieux Suppression des fichiers et dossier et en bas à gauche de la fenêtre il y a marqué Fichier introuvable.
    Maintenant il me met ERREUR.

    Maintenant, il procède au nettoyage.
    C'est terminé, tout ne s'est pas passé comme sur les explications...

    Voici le log après nettoyage :

    ----------------- FindyKill V4.095 ------------------

    * User : Admin - SPECMEDIAXPBYJE
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 24/10/08 par Chiquitine29
    * Suppression effectuée à 22:55:41 le 28/10/2008
    * Windows XP - Internet Explorer 7.0.5730.11

    ((((((((((((((( *** Suppression *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\SYSTEM32\LogonUI.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    C:\Program Files\Spyware Doctor - Ok\pctsAuxs.exe
    C:\Program Files\Spyware Doctor - Ok\pctsSvc.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Spyware Doctor - Ok\pctsTray.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Suppression des fichiers dans C:

    »»»» Suppression des fichiers dans C:\WINDOWS

    »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

    Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-356875A2.pf
    Supprimé ! - C:\WINDOWS\Prefetch\BRUTUSA2.EXE-055739C5.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\PLATFORMROUTINES_WIN32.EXE-037B801C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-118C6B63.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12B3EE0E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12E27DD0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12E48966.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-132B2031.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1357CA32.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-13F865B0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-15206D5C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-172C6189.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-173942D9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188D9E9C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1A32A196.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1A3EED1F.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1F20A0D1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1F9F055C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-20A8C272.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2341BBC5.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-23D102F9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-268BFF96.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-26C2147E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-28B7DF51.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-28C8C8A1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2BF3472E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3085D5CC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-32F26A0D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-358BCAFF.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-37C54965.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-37EEC05D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D3D8701.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3F684214.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-404CE4A6.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-43854211.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4489B61B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-49A1D709.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4C425429.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4C56322E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4C76A1A6.pf
    Supprimé ! - C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf
    Supprimé ! - C:\WINDOWS\Prefetch\UNINS000.EXE-06DC09FF.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINFILSE.EXE-17C2CF68.pf

    »»»» Suppression des fichiers dans C:\WINDOWS\system32

    Supprimé ! - C:\WINDOWS\system32\mdelk.exe
    Supprimé ! - C:\WINDOWS\system32\wintems.exe

    »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

    Supprimé ! - C:\WINDOWS\system32\drivers\srosa.sys
    Supprimé ! - C:\WINDOWS\system32\drivers\winfilse.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\527843.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\578234.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\582515.exe
    Supprimé ! - C:\WINDOWS\system32\drivers\downld\612328.exe
    Supprimé ! - "C:\WINDOWS\system32\drivers\downld"

    »»»» Suppression des fichiers dans C:\Documents and Settings\Admin\Application Data

    Supprimé ! - "C:\Documents and Settings\Admin\Application Data\m\flec006.exe"
    Supprimé ! - "C:\Documents and Settings\Admin\Application Data\m"

    »»»» Suppression des fichiers dans C:\DOCUME~1\Admin\LOCALS~1\Temp

    --------------- [ Registre / Clés infectieuses ] ----------------

    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Supprimé ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\Local AppWizard-Generated Applications\nideiect
    Supprimé ! - HKEY_USERS\S-1-5-21-2052111302-1085031214-682003330-1006\Software\Local AppWizard-Generated Applications\winfilse

    -> Certaines clés ont été supprimées au premier reboot ...

    --------------- [ Etat / Redémarage des services ] ----------------

    +- Mode sans echec restauré !

    +- Affichage des fichiers cachés réparé !

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]

    Ndisuio - Type de démarrage = 3

    EapHost - Type de démarrage = 2

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Nettoyage des supports amovibles ] ----------------

    +- Informations :

    C: - Lecteur fixe

    +- Suppression des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    -> Recherche négative.

    --------------- [ Recherche Cracks / Keygen ] ----------------

    ---------------- ! Fin du rapport ! ------------------
    0
  17. InfernO.vir
     
    Ok tres bien du nettoyage de fait, un peu d'amelioration sur le pc ?

    J'attends ton rapport hijackthis.
    0
  18. Gabithemind Messages postés 19 Statut Membre
     
    Voici le LOG Hijackthis :

    (PS : Mon PC a terriblement refroidi, je suis redescendu à 40°, il rame plus, je crois que c'est OK...)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:07:53, on 28/10/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    C:\Program Files\Spyware Doctor - Ok\pctsAuxs.exe
    C:\Program Files\Spyware Doctor - Ok\pctsSvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Spyware Doctor - Ok\pctsTray.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Documents and Settings\Admin\Bureau\HiJackThis\HiJackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://punklabs.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor - Ok\pctsTray.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_16] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_17] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_18] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-fr.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor - Ok\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor - Ok\pctsSvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  19. InfernO.vir
     
    Oui mais on en a pas fini:

    -Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    -Télécharge Combofix sUBs : combofix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    -Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.

    -Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    -Copie/colle un nouveau rapport HiJackThis avec.

    ******************************

    -Telecharge MBAM--> http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    -Execute un scan complet en mode sans echec (recommandé)

    -Supprime tout ce qu'il te trouve (liste en rouge)-->en cliquant sur "supprimer la selection"

    -Poste le rapport.

    PS: ca va prendre un peu de temps pour MBAM, moi je vais me pioter, je regarderais ca demain.

    0
  • 1
  • 2