soupçon de virus = rapport Findykill Résolu/Fermé

Question

Bonjour,

Je pense être infectée mais je ne sais pas par quoi... les symptômes : antivirus désactivé, Ccleaner refuse de se lancer, impossible de redémarrer en mode sans échec...
Je penche pour une variante de Bagle... car j'ai lancé un scan avec Stinger et celui-ci a trouvé 2 fichiers images infectés par Bagle.gen
Help, Merci !

----------------- FindyKill V4.095 ------------------

* User : sandrine - SOURINE
* Emplacement : E:\Program Files\FindyKill
* Outils Mis a jours le 07/11/08 par Chiquitine29
* Recherche effectuée à 19:24:35 le 08/11/2008
* Windows XP - Internet Explorer 6.0.2900.2180
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

E:\windows\System32\smss.exe
E:\windows\system32\csrss.exe
E:\windows\system32\winlogon.exe
E:\windows\system32\services.exe
E:\windows\system32\lsass.exe
E:\windows\system32\svchost.exe
E:\windows\system32\svchost.exe
E:\windows\System32\svchost.exe
E:\windows\system32\svchost.exe
E:\windows\system32\svchost.exe
E:\windows\system32\spoolsv.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\windows\system32\svchost.exe
E:\WINDOWS\system32\wdfmgr.exe
E:\windows\system32\DRIVERS\WtSrv.exe
E:\windows\Explorer.EXE
E:\windows\RTHDCPL.EXE
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\windows\system32\WService.EXE
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\windows\system32\ctfmon.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\windows\system32\drivers\winfilse.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\windows\System32\svchost.exe
E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Program Files\Skype\Plugin Manager\skypePM.exe
E:\windows\system32\wintems.exe
E:\Documents and Settings\sandrine\Application Data\m\flec006.exe
E:\Program Files\Mozilla Firefox\firefox.exe
 
--------------- [ Processus infectieux stoppés ] ----------------  
 

"E:\windows\system32\wintems.exe"  (3120)
"E:\Documents and Settings\sandrine\Application Data\m\flec006.exe"  (3180)
"E:\windows\system32\drivers\winfilse.exe"  (952)

 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans E: 
 
 
»»»» Presence des fichiers dans E:\windows 
 
 
»»»» Presence des fichiers dans E:\windows\Prefetch 
 
Present ! - E:\windows\prefetch\125031.EXE-19E5673F.pf 
Present ! - E:\windows\prefetch\128000.EXE-2B38AB56.pf 
Present ! - E:\windows\prefetch\139765.EXE-382C5C2E.pf 
Present ! - E:\windows\prefetch\144343.EXE-2776216E.pf 
Present ! - E:\windows\prefetch\181078.EXE-16F8F324.pf 
Present ! - E:\windows\prefetch\92703.EXE-32BEDC60.pf 
Present ! - E:\windows\prefetch\FLEC006.EXE-2D7C5D25.pf 
Present ! - E:\windows\prefetch\MDELK.EXE-1D176F91.pf 
Present ! - E:\windows\prefetch\WINTEMS.EXE-2A563F9B.pf 
Present ! - E:\windows\Prefetch\INSTALL_CRACK.EXE-05EB8792.pf 
Present ! - E:\windows\Prefetch\INSTALL_CRACK.EXE-05EB8792.pf 
 
»»»» Presence des fichiers dans E:\windows\system32 
 
Présent ! [08/11/2008 17:36] - E:\windows\system32\mdelk.exe 
Présent ! [08/11/2008 17:36] - E:\windows\system32\wintems.exe 
Présent ! [08/11/2008 18:36] - E:\windows\system32\ban_list.txt 
 
»»»» Presence des fichiers dans E:\windows\system32\drivers 
 
Présent ! [08/11/2008 17:35] - E:\windows\system32\drivers\srosa.sys 
Présent ! [08/11/2008 17:35] - E:\windows\system32\drivers\srosa2.sys 
Présent ! [25/06/2005 07:07] - E:\windows\system32\drivers\winfilse.exe 
Présent ! [08/11/2008 17:39] - "E:\windows\system32\drivers\downld" 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\107562.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\108953.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\122406.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\124140.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\125031.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\128000.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\139765.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\144343.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\150000.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\159203.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\174031.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\178390.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\193562.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\291656.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\298859.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\305109.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\322359.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\332343.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\337171.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\353265.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\91250.exe 
Présent ! [08/11/2008 17:39] E:\windows\system32\drivers\downld\92703.exe 
 
»»»» Presence des fichiers dans E:\Documents and Settings\sandrine\Application Data 
 
Présent ! [08/11/2008 17:36] - "E:\Documents and Settings\sandrine\Application Data\m\flec006.exe" 
Présent ! [08/11/2008 17:36] - "E:\Documents and Settings\sandrine\Application Data\m\list.oct" 
Présent ! [08/11/2008 17:36] - "E:\Documents and Settings\sandrine\Application Data\m\data.oct" 
Présent ! [08/11/2008 17:36] - "E:\Documents and Settings\sandrine\Application Data\m\srvlist.oct" 
Présent ! [08/11/2008 17:37] - "E:\Documents and Settings\sandrine\Application Data\m\shared" 
Présent ! [08/11/2008 14:16] - "E:\Documents and Settings\sandrine\Application Data\m" 
 
»»»» Presence des fichiers dans E:\DOCUME~1\sandrine\LOCALS~1\Temp 
 
 
»»»» Presence des fichiers dans E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5 
 
Présent ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\CQTRNYTA\b64[1].jpg  
Présent ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\I18LAN6J\b64_3[1].jpg  
Présent ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\MTONSN8B\b64_1[1].jpg  
Présent ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\MTONSN8B\b64_3[1].jpg  
 
--------------- [ Registre / Startup ] ----------------  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    RTHDCPL	REG_SZ	RTHDCPL.EXE
    Alcmtr	REG_SZ	ALCMTR.EXE
    avast!	REG_SZ	E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    HP Software Update	REG_SZ	E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    SunJavaUpdateSched	REG_SZ	"E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    NeroFilterCheck	REG_SZ	E:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    Adobe Reader Speed Launcher	REG_SZ	"E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    QuickTime Task	REG_SZ	"E:\Program Files\QuickTime\qttask.exe" -atboottime
    AtiPTA	REG_SZ	atiptaxx.exe
    WService	REG_SZ	WService.EXE
    StartCCC	REG_SZ	"E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    KernelFaultCheck	REG_EXPAND_SZ	%systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	E:\windows\system32\ctfmon.exe
    BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}	REG_SZ	"E:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    ccleaner	REG_SZ	"E:\Program Files\CCleaner\CCleaner.exe" /AUTO
    Skype	REG_SZ	"E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\Local AppWizard-Generated Applications\install_crack 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\Local AppWizard-Generated Applications\winfilse 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\bisoft 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\CHKPTR 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\DateTime4 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\FFC 
Présent ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\MuleAppData 
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_crack 
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_CURRENT_USER\Software\bisoft 
Présent ! - HKEY_CURRENT_USER\Software\DateTime4 
Présent ! - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] | EnableLUA  
Présent ! - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc] | EnableLUA  
 
--------------- [ Etat / Services ] ---------------- 
 
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot 
 
  -> Mode sans echec non fonctionnel !! 
 
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal 
 
 -> Mode sans echec non fonctionnel !! 
 
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network 
 
 -> Mode sans echec non fonctionnel !! 
 


+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 /!\ Ndisuio - Type de démarrage = 4 
 
 /!\ Ip6Fw - Type de démarrage = 4 
 
 /!\ SharedAccess - Type de démarrage = 4 
 
 /!\ wuauserv - Type de démarrage = 4 
 
 /!\ wscsvc - Type de démarrage = 4 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe

E: - Lecteur fixe

 
+- presence des fichiers :  

 
 
--------------- [ Registre / Moutpoint2 ] ----------------  
 
 
 -> Recherche négative. 
 
 
------------------- ! Fin du rapport ! --------------------

Utilisateur anonyme · Answer

Salut,

Ce rapport de FindyKill est complet. L'infection Bagle s'attrape dans les cracks et keygens donc si tu en as, il faut les supprimer sinon l'infection se relancera.

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

sourine · Answer

ouais, je le savais bien... c'est une connerie car j'ai récupéré un mauvais outil pour Ripp-it AM... je l'ai supprimé mais le mal était fait !

ça me fait marrer car je bosse dans l'info (et avec Internet depuis + de 10 ans) et ai déjà réparé des pc infectés mais moi c'est mon premier virus !!! lol 
Et comme y'a ici des gens plus compétents que moi à ce niveau  ;-)

Cela me semble bien nettoyé, qu'en pense mon docteur ?


----------------- FindyKill V4.095 ------------------

* User : sandrine - SOURINE
* Emplacement : E:\Program Files\FindyKill
* Outils Mis a jours le 07/11/08 par Chiquitine29
* Suppression effectuée à  3:25:13 le 09/11/2008
* Windows XP - Internet Explorer 6.0.2900.2180
 
 
((((((((((((((( *** Suppression *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

E:\windows\System32\smss.exe
E:\windows\system32\csrss.exe
E:\windows\system32\winlogon.exe
E:\windows\system32\services.exe
E:\windows\system32\lsass.exe
E:\windows\system32\svchost.exe
E:\windows\system32\svchost.exe
E:\windows\System32\svchost.exe
E:\windows\system32\svchost.exe
E:\windows\system32\svchost.exe
E:\windows\system32\spoolsv.exe
E:\WINDOWS\system32\userinit.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Suppression des fichiers dans E: 
 
 
»»»» Suppression des fichiers dans E:\windows 
 
 
»»»» Suppression des fichiers dans E:\windows\Prefetch 
 
Supprimé ! - E:\windows\prefetch\125031.EXE-19E5673F.pf 
Supprimé ! - E:\windows\prefetch\128000.EXE-2B38AB56.pf 
Supprimé ! - E:\windows\prefetch\139765.EXE-382C5C2E.pf 
Supprimé ! - E:\windows\prefetch\144343.EXE-2776216E.pf 
Supprimé ! - E:\windows\prefetch\181078.EXE-16F8F324.pf 
Supprimé ! - E:\windows\prefetch\92703.EXE-32BEDC60.pf 
Supprimé ! - E:\windows\prefetch\FLEC006.EXE-2D7C5D25.pf 
Supprimé ! - E:\windows\prefetch\INSTALL_CRACK.EXE-05EB8792.pf 
Supprimé ! - E:\windows\prefetch\MDELK.EXE-1D176F91.pf 
Supprimé ! - E:\windows\prefetch\WINTEMS.EXE-2A563F9B.pf 
 
»»»» Suppression des fichiers dans E:\windows\system32 
 
Supprimé ! - E:\windows\system32\mdelk.exe  
Supprimé ! - E:\windows\system32\wintems.exe  
Supprimé ! - E:\windows\system32\ban_list.txt  
 
»»»» Suppression des fichiers dans E:\windows\system32\drivers 
 
Supprimé ! - E:\windows\system32\drivers\srosa.sys  
Supprimé ! - E:\windows\system32\drivers\srosa2.sys  
Supprimé ! - E:\windows\system32\drivers\winfilse.exe  
Supprimé ! - E:\windows\system32\drivers\downld\107562.exe 
Supprimé ! - E:\windows\system32\drivers\downld\108953.exe 
Supprimé ! - E:\windows\system32\drivers\downld\110328.exe 
Supprimé ! - E:\windows\system32\drivers\downld\122406.exe 
Supprimé ! - E:\windows\system32\drivers\downld\124140.exe 
Supprimé ! - E:\windows\system32\drivers\downld\125031.exe 
Supprimé ! - E:\windows\system32\drivers\downld\128000.exe 
Supprimé ! - E:\windows\system32\drivers\downld\131281.exe 
Supprimé ! - E:\windows\system32\drivers\downld\139765.exe 
Supprimé ! - E:\windows\system32\drivers\downld\144343.exe 
Supprimé ! - E:\windows\system32\drivers\downld\150000.exe 
Supprimé ! - E:\windows\system32\drivers\downld\159203.exe 
Supprimé ! - E:\windows\system32\drivers\downld\174031.exe 
Supprimé ! - E:\windows\system32\drivers\downld\178390.exe 
Supprimé ! - E:\windows\system32\drivers\downld\193562.exe 
Supprimé ! - E:\windows\system32\drivers\downld\226078.exe 
Supprimé ! - E:\windows\system32\drivers\downld\231421.exe 
Supprimé ! - E:\windows\system32\drivers\downld\241671.exe 
Supprimé ! - E:\windows\system32\drivers\downld\243484.exe 
Supprimé ! - E:\windows\system32\drivers\downld\291656.exe 
Supprimé ! - E:\windows\system32\drivers\downld\298859.exe 
Supprimé ! - E:\windows\system32\drivers\downld\305109.exe 
Supprimé ! - E:\windows\system32\drivers\downld\322359.exe 
Supprimé ! - E:\windows\system32\drivers\downld\332343.exe 
Supprimé ! - E:\windows\system32\drivers\downld\337171.exe 
Supprimé ! - E:\windows\system32\drivers\downld\353265.exe 
Supprimé ! - E:\windows\system32\drivers\downld\78140.exe 
Supprimé ! - E:\windows\system32\drivers\downld\79703.exe 
Supprimé ! - E:\windows\system32\drivers\downld\85953.exe 
Supprimé ! - E:\windows\system32\drivers\downld\91250.exe 
Supprimé ! - E:\windows\system32\drivers\downld\92703.exe 
Supprimé ! - E:\windows\system32\drivers\downld\94625.exe 
Supprimé ! - "E:\windows\system32\drivers\downld"  
 
»»»» Suppression des fichiers dans E:\Documents and Settings\sandrine\Application Data 
 
Supprimé ! - "E:\Documents and Settings\sandrine\Application Data\m\flec006.exe"  
Supprimé ! - "E:\Documents and Settings\sandrine\Application Data\m\list.oct"  
Supprimé ! - "E:\Documents and Settings\sandrine\Application Data\m\data.oct"  
Supprimé ! - "E:\Documents and Settings\sandrine\Application Data\m\srvlist.oct"  
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Abexo_Registry_Cleaner_4.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\AhaView 4.0 Cracked.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Alfa Ebooks Manager 0.4.5.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Andrew's Vector Plugins Volume 4 'MultiToolbox' 1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\AOL_Instant_Messenger_(16-bit)_2.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Arches_Screensaver_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Automatic_Doctors_Calls_with_Excel_1.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\BIOS Patcher 4.23.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Birthday_Calendar_Reminder_3.2.1_Patch.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\BitDefender.Antivirus.v10+keygen.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Blitzkrieg_1.2_patch.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Boustrophedon-Reader 0.4.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Call_Of_Duty_demo_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\CharMap 3.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Chun-Yu_Shei_MP3_Output_for_Winamp.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\ClockWatch_Pro_3.1.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Color Style Studio 2.204 [Key+Serial].zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\ColorImpact 3.0.3.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Comp 1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Content_Infinity_1.0_[Key].zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Coptic_Number_Translator_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\CPT-Master_2.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Craygo_Autoposter_2.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\DART XP PRO 1.1.6p.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\DebugView 4.73.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\DefencePlus 2.10 KeyGen.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\divXMovieTool_1.0_(Crack).zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Doom_3_Church_of_Ruins_map.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\DrillBoard_1.0.4.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\E20-530_-_Network_Storage_-_SAN_Specialist_Practice_Exam_Questions_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\EfreeBuy Folder Icon 3.00.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Eggz_1.05_Serial.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Email Reserve 1.4 Key.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\EngineCR 2.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\express IP Locator 1.2.3 build 52.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\FaceOnBody_2.4.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\FAST_Defrag_FREEWARE_2.31.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Field & Stream Trophy Buck.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Fixed Wing Living Model Navigator Plug-in 1.5a.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\FolderWorks 1.0.0.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Formulas 3.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\FreeMeter 2.8.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Full_Tilt!_2_Pinball_Windows_3.1_demo.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Glarysoft DVD Ripper 1.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\GlobFX_Composer_1.0.9_[Serial].zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Half-Life_2_Deathmatch_Server_Creation_mod.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Hyperblade_demo.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Iceberg Screensaver 2.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Icicle Country 1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Image Digger 2.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\ImgSource 4.0.7.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\InfoGetter_Xmod_1.2.2.21.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Intaglio_2.7.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Investment Studio 1.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Irish_To_The_max_Screensaver_1.0_[Key+Serial].zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Jessica Alba Screensaver2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\KMremoteControl_1.23.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Konvertor_watermark DLL 1.05.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Las Vegas Neon Nights 1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Lens_-_DragMag_1.1_Cracked.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Little Billy's Album 1.1.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Longhorn Clock 1.5.0.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Low_Middle_High_-_Ear_Traning_1.03.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\m9P News Feeder 1.0 (With Crack).zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Matrix Reality 3D ScreenSaver 1.3.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Micromind Chequebook Manager 2.7.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Mirramail_2.1.1_(With_Crack).zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\MortalServer_toolbar_for_IE_4.5.135.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Mublo Winamp Plugin 1.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\My Mp3 Player 1.00.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\My_Movie_Catalog_2.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Network Online Monitor 1.10.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Network Protocols Handbook 2007.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\NTMessenger 1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\OfficePoltergeist_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Olympics Countdown 1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Outlook Security Manager 1.5 (Patch).zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\PDFCreator 0.9.5.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\PDFtyper 5.60.eh.220.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Personal Anti-Phishing Sidebar 0.6.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\powerKNOW 2.21.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Professional_Bull_Rider.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\ProStat 4.11.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\PX8_Desktop_Pager_for_Windows_8.0_[KeyGen].zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Quiz_Creator_1.011_Key+Serial.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\RAD Rotator 2.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\RAR_Backup_2007.1.2.12.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Replay_1.4.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Reset_Local_Password_Pro_3.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\RGeneratePassword 2.3.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\RGS-ADSLBoost_1.0.3.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\RoboHelp_for_FrameMaker_1.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Rovers_on_Mars_Screensaver_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Schedule_Master_3.10.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Schooler_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\ScreenShield_1.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Server 2003 Active Directory Infrastructure (Exam 70-294) 3.1.11.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Simple NeroAACEnc GUI - SNG 1.0b2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Smart Items 1.3.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Smileyville_1.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\SonicClick_1.0.1_(KeyGen).zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\SourceMonitor_2.2.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\SpiderSEO 1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Spy-Server_5.4.4_Patch.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Star Screen Saver 1 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Subaru Impreza Screensaver 1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Subject Search Spider 5.3.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\TestExpert_1.0.0.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Tipsy_Clock_Screensaver_1.2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\TPlayer 1R10.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Training_Manager_2.5.7.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Versiown_3.23.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Virtual_Camera_0.85.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Visual Extend 8.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\White Reef - Animated Screensaver 2.52.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Widget Center 1.0.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Winamp Lyrics Opener 1.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\WinDVD_Tweaker_4.49_[Patch].zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\WinRescue_XP_1.08.38.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\WinWakeUp 1.0 beta.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\WMA_To_MP3_Activex_1.0.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\WWF Environmental toolbar for Firefox 1.5.0.4.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\XMedia Backup 4.1.1.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\XMS.NET API 2.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\YASA_DVD_Ripper_3.7.45.zip 
Supprimé ! - E:\Documents and Settings\sandrine\Application Data\m\shared\Zen_Garden_Screen_Saver_1.0.zip 
Supprimé ! - "E:\Documents and Settings\sandrine\Application Data\m\shared"  
Supprimé ! - "E:\Documents and Settings\sandrine\Application Data\m"  
 
»»»» Suppression des fichiers dans E:\DOCUME~1\sandrine\LOCALS~1\Temp 
 
 
»»»» Suppression des fichiers dans E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5 
 
Supprimé ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\CQTRNYTA\b64[1].jpg     
Supprimé ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\I18LAN6J\b64[1].jpg     
Supprimé ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\I18LAN6J\b64_3[1].jpg     
Supprimé ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\MTONSN8B\b64_1[1].jpg     
Supprimé ! - E:\Documents and Settings\sandrine\Local Settings\Temporary Internet Files\Content.IE5\MTONSN8B\b64_3[1].jpg     
 
--------------- [ Registre / Clés infectieuses ] ---------------- 
 
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa   
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA   
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA   
Supprimé ! - HKEY_CURRENT_USER\Software\bisoft   
Supprimé ! - HKEY_CURRENT_USER\Software\DateTime4   
Supprimé ! - HKEY_CURRENT_USER\Software\FFC   
Supprimé ! - HKEY_CURRENT_USER\Software\CHKPTR   
Supprimé ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\Local AppWizard-Generated Applications\install_crack   
Supprimé ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\Local AppWizard-Generated Applications\winfilse   
Supprimé ! - HKEY_USERS\S-1-5-21-1547161642-602162358-839522115-1003\Software\MuleAppData   
 
--------------- [ Etat / Redémarage des services ] ---------------- 
 
+- Mode sans echec restauré ! 

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 Ndisuio - Type de démarrage = 3 
 
 Ip6Fw - Type de démarrage = 2 
 
 SharedAccess - Type de démarrage = 2 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 
---------------   [ Nettoyage des supports amovibles ] ----------------  
 
+- Informations : 

C: - Lecteur fixe

E: - Lecteur fixe

 
+- Suppression des fichiers : 
 
 
--------------- [ Registre / Moutpoint2 ] ----------------  
 
 
 -> Recherche négative. 
 
 
--------------- [ Recherche Cracks / Keygen ] ----------------  
 
E:\Documents and Settings\sandrine\Application Data\yoclientsrc\bundles\media\yohoho-puzzle-crafting-iron\media\yohoho\puzzle\crafting\iron\blades\cracked.png
E:\Documents and Settings\sandrine\Application Data\yoclientsrc\bundles	iles\outdoors\base\bundle\crackedmud.raw
E:\Documents and Settings\sandrine\Application Data\yoclientsrc\bundles	iles\outdoors\structures\bundle\jettyedge_crack.raw

---------------- ! Fin du rapport ! ------------------

sourine · Answer

PS : j'ai viré manuellement le dossier "Yoclient" venu de nulle part... + lancé Ccleaner (qui remarche) pour nettoyer la base de registre et les temp

Utilisateur anonyme · Answer

Re,


Peut faire ceci maintenant merci.

télécharge hijackthis
->  enregistre la cible sous .... "le bureau" 

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse 

->Tuto hijackthis

sourine · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:53, on 09/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\windows\System32\smss.exe
E:\windows\system32\winlogon.exe
E:\windows\system32\services.exe
E:\windows\system32\lsass.exe
E:\windows\system32\svchost.exe
E:\windows\System32\svchost.exe
E:\windows\system32\spoolsv.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\windows\system32\svchost.exe
E:\windows\system32\DRIVERS\WtSrv.exe
E:\windows\Explorer.EXE
E:\windows\RTHDCPL.EXE
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
E:\windows\system32\WService.EXE
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\windows\system32\ctfmon.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\windows\System32\svchost.exe
E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Program Files\Skype\Plugin Manager\skypePM.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 78.109.84.27 www.650km.com
O1 - Hosts: 78.109.84.27 650km.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - E:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] E:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ccleaner] "E:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - E:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - E:\windows\system32\DRIVERS\WtSrv.exe

Utilisateur anonyme · Answer

Re,

-Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

- Mets le à jour

---
- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's

sourine · Answer

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1376
Windows 5.1.2600 Service Pack 2

09/11/2008 16:55:34
mbam-log-2008-11-09 (16-55-34).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 116054
Temps écoulé: 31 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c49dd894-c6de-4910-8c41-ba20f852d8bc} (Adware.IE.Toolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{c49dd894-c6de-4910-8c41-ba20f852d8bc} (Adware.IE.Toolbar) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
E:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
E:\WINDOWS\system32\config\41640110.Evt (Rootkit.Agent.H) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\file.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re,

OK,

Refait un hijackthis.

merci

sourine · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:05, on 09/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\windows\System32\smss.exe
E:\windows\system32\winlogon.exe
E:\windows\system32\services.exe
E:\windows\system32\lsass.exe
E:\windows\system32\svchost.exe
E:\windows\System32\svchost.exe
E:\windows\system32\spoolsv.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\windows\system32\svchost.exe
E:\windows\system32\DRIVERS\WtSrv.exe
E:\windows\Explorer.EXE
E:\windows\RTHDCPL.EXE
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
E:\windows\system32\WService.EXE
E:\windows\system32\ctfmon.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\windows\System32\svchost.exe
E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

Liens
O1 - Hosts: 78.109.84.27 www.650km.com
O1 - Hosts: 78.109.84.27 650km.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - E:\Program 

Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers 

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\HP\HP Software 

Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program 

Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers 

communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program 

Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program 

Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI 

Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] E:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 

"E:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ccleaner] "E:\Program Files\CCleaner\CCleaner.exe" 

/AUTO
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" 

/nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE 

(User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE 

(User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE 

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE 

(User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program 

Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - 

res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program 

Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - 

E:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program 

Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 

E:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: ATI Smart - Unknown owner - 

E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 

Corporation - E:\Program Files\Fichiers 

communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero 

BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Fichiers 

communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division 

Software - E:\Program Files\Alcohol Soft\Alcohol 

120\StarWind\StarWindService.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - 

E:\windows\system32\DRIVERS\WtSrv.exe

Utilisateur anonyme · Answer

Re,

&#x25B6; Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau 
 
&#9679; Double clique sur " OtmoveIt3.exe " pour le lancer.

&#9679; Copie/colle le texte suivant en gris dans la case de gauche " Paste Instructions for items to be moved "

:processes
explorer.exe


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

:Reg


[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}]

:Commands
[start explorer]




XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 




&#9679; Clique sur " MoveIt! "

&#9679; Copie tout ce qui est marqué dans la case de droite " Results "

&#9679; Colle tout sur le forum.

( Rapport situé ici aussi : C:\_OTMoveIt\MovedFiles ) 

ensuite redémarre le pc et refais un nouveau rapport hijackthis stp

sourine · Answer

========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC}\ deleted successfully.
========== COMMANDS ==========
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11092008_172911

Utilisateur anonyme · Answer

Re,

Fait un nouveau hijackthis.

merci

sourine · Answer

Yes, je redémarrais le pc  ;-) 



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:33:05, on 09/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\windows\System32\smss.exe
E:\windows\system32\winlogon.exe
E:\windows\system32\services.exe
E:\windows\system32\lsass.exe
E:\windows\system32\svchost.exe
E:\windows\System32\svchost.exe
E:\windows\system32\spoolsv.exe
E:\windows\Explorer.EXE
E:\windows\RTHDCPL.EXE
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
E:\windows\system32\WService.EXE
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\windows\system32\ctfmon.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\windows\system32\svchost.exe
E:\windows\system32\DRIVERS\WtSrv.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe
E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\windows\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 78.109.84.27 www.650km.com
O1 - Hosts: 78.109.84.27 650km.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - E:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] E:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ccleaner] "E:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - E:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - E:\windows\system32\DRIVERS\WtSrv.exe

Utilisateur anonyme · Answer

Re,

installe [- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraudfix]



Option:1 => Recherche:

    * Double cliquer sur SmitfraudFix.exe
    
* Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

C:\rapport.txt

==>et colle le rapport génèrer sur le forum.

*=>Ne pas faire l'option 2 sans un avis d'une personne compétente*<=


==>Tutoriel Smitfraudix

sourine · Answer

SmitFraudFix v2.373

Rapport fait à 17:42:34,76, 09/11/2008
Executé à partir de E:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:\windows\System32\smss.exe
E:\windows\system32\winlogon.exe
E:\windows\system32\services.exe
E:\windows\system32\lsass.exe
E:\windows\system32\svchost.exe
E:\windows\System32\svchost.exe
E:\windows\system32\spoolsv.exe
E:\windows\Explorer.EXE
E:\windows\RTHDCPL.EXE
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
E:\windows\system32\WService.EXE
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\windows\system32\ctfmon.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\windows\system32\svchost.exe
E:\windows\system32\DRIVERS\WtSrv.exe
E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\windows\System32\svchost.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
E:\windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» E:\


»»»»»»»»»»»»»»»»»»»»»»»» E:\windows


»»»»»»»»»»»»»»»»»»»»»»»» E:\windows\system


»»»»»»»»»»»»»»»»»»»»»»»» E:\windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» E:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\sandrine


»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\sandrine\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\sandrine\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\sandrine\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="E:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4F2BBB1E-989A-48E2-AA09-267B10345850}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4F2BBB1E-989A-48E2-AA09-267B10345850}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4F2BBB1E-989A-48E2-AA09-267B10345850}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

Re,

Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases

O1 - Hosts: 78.109.84.27 www.650km.com
O1 - Hosts: 78.109.84.27 650km.com
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Ensuite clique sur "Fix checked"
Merci.

======================================================================

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques 

Télécharge toolscleaner sur ton Bureau : 

toolscleaner

* Double-clique sur ToolsCleaner2.exe et laisse le travailler 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

Tutoriel toolscleaner

Désactive et réactive la Restauration du système :
 
1 Dans la barre des tâches de Windows, clique sur Démarrer.
 
2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
 
3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.
  
5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration dans accessoires----outils systeme----restauration du systeme.

sourine · Answer

Pour info,  650km c'est moi qui l'ai mis et cela n'a rien à voir avec mon problème... (c'est un site de jeu auquel je joue depuis 2 ans environ)

Ok pour le reste, je fais ça et poste le résultat..

Utilisateur anonyme · Answer

Re,

OK très bien.

@+

sourine · Answer

plus rien dans Toolscleaner hormis les outils utilisés ici (hijack, MAM, etc.)

et je n'ai pas de restauration système...

Utilisateur anonyme · Answer

Re,

Pour hijackthis tu peut supprimer via le panneau de config et ajout et suppression .

@+

sourine · Answer

oui pas de soucis...

J'ai encore un problème: je ne peux toujours pas lancer Avast...

sourine · Answer

Bon, c'est ok pour Avast...

Tout semble désormais rouler. Qu'en penses-tu ? Encore quelque chose à voir ou c'est bon ?

fonze · Answer

desole mais idem pas de rapport au redemarrage

sourine · Answer

Merci beaucoup de ton aide Goldo !!!! Tout est ok 
(sauf que j'ai crashé mon processeur depuis mais ça... c'est autre chose !!!)

Soupçon de virus => rapport Findykill

24 réponses

Discussions similaires