Virus dont j'ai le script !!
Résolu
alex2239
-
Hous214 -
Hous214 -
Bonjour,
depuis quelque temps, avant l'ecran d'accueil de windows xp (ou on choisit le compte utilisateur) , il y a un message qui s'affiche "Hi Alex don't worry i'm a friend" j'appuie sur OK et ça passe je n'ai pas remarqué de problèmes sur mon système, mais quand je me suis interessé de plus près a la cause, j'ai trouver que mon flashdisk contenait un 2 fichiers superflus "Wallpaper.vbs" et "autorun.inf" :
autorun.inf :
[autorun]
shellexecute = WallpaperMEHDI.vbs
shell\Open\Command=Wscript \WallpaperMEHDI.vbs
shell\Explore\Command=Wscript \WallpaperMEHDI.vbs
Wallpaper.vbs :
il contient des inscription dans la base de registre comme :
BGfix="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\NoChangingWallPaper"
je pense que cela m'empêche de changer d'arrière-plan vu que le script m'a ajouté un nouvel arriere-plan qui n'est pas si joli que ça !!!
je ne veux pas poster tout le script de peur que quelqu'un d'autre le copie et le réutilise donc est-ce que quelqu'un pourrait m'aider a comprendre le contenu du script et a le neutraliser.??
depuis quelque temps, avant l'ecran d'accueil de windows xp (ou on choisit le compte utilisateur) , il y a un message qui s'affiche "Hi Alex don't worry i'm a friend" j'appuie sur OK et ça passe je n'ai pas remarqué de problèmes sur mon système, mais quand je me suis interessé de plus près a la cause, j'ai trouver que mon flashdisk contenait un 2 fichiers superflus "Wallpaper.vbs" et "autorun.inf" :
autorun.inf :
[autorun]
shellexecute = WallpaperMEHDI.vbs
shell\Open\Command=Wscript \WallpaperMEHDI.vbs
shell\Explore\Command=Wscript \WallpaperMEHDI.vbs
Wallpaper.vbs :
il contient des inscription dans la base de registre comme :
BGfix="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\NoChangingWallPaper"
je pense que cela m'empêche de changer d'arrière-plan vu que le script m'a ajouté un nouvel arriere-plan qui n'est pas si joli que ça !!!
je ne veux pas poster tout le script de peur que quelqu'un d'autre le copie et le réutilise donc est-ce que quelqu'un pourrait m'aider a comprendre le contenu du script et a le neutraliser.??
A voir également:
- Virus dont j'ai le script !!
- Virus mcafee - Accueil - Piratage
- Script vidéo youtube - Guide
- Mas script - Accueil - Windows
- Ghost script - Télécharger - Polices de caractères
- Virus informatique - Guide
27 réponses
- 1
- 2
Suivant
re
ok
si tu as toujours ce script , inscrit toi sur le site et communique le moi en messagerie privée
http://www.commentcamarche.net/communaute/profil Chiquitine29
>>tu feras avancer usbfix merci
# Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.exe choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
ok
si tu as toujours ce script , inscrit toi sur le site et communique le moi en messagerie privée
http://www.commentcamarche.net/communaute/profil Chiquitine29
>>tu feras avancer usbfix merci
# Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.exe choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Salut,
telecharge RSIT:
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
telecharge RSIT:
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
j'ai fais analyser le .vbs par virus total et ca donne ca :
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.11.2 2008.11.12 VBS/Wallpaper
AntiVir 7.9.0.31 2008.11.11 HTML/Rce.Gen
Authentium 5.1.0.4 2008.11.11 -
Avast 4.8.1248.0 2008.11.11 -
AVG 8.0.0.161 2008.11.11 -
BitDefender 7.2 2008.11.12 -
CAT-QuickHeal 9.50 2008.11.11 VBSWGE.based
ClamAV 0.94.1 2008.11.12 -
DrWeb 4.44.0.09170 2008.11.12 modification of VBS.Tune
eSafe 7.0.17.0 2008.11.11 -
eTrust-Vet 31.6.6204 2008.11.11 -
Ewido 4.0 2008.11.11 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.12 Trojan.VBS.Wallpaper
Fortinet 3.117.0.0 2008.11.12 -
GData 19 2008.11.12 -
Ikarus T3.1.1.45.0 2008.11.12 Trojan.VBS.Wallpaper
K7AntiVirus 7.10.522 2008.11.11 -
Kaspersky 7.0.0.125 2008.11.12 Trojan.VBS.Wallpaper
McAfee 5431 2008.11.12 -
Microsoft 1.4104 2008.11.12 -
NOD32 3605 2008.11.12 -
Norman 5.80.02 2008.11.11 -
Panda 9.0.0.4 2008.11.11 Suspicious file
PCTools 4.4.2.0 2008.11.11 -
Prevx1 V2 2008.11.12 -
Rising 21.03.20.00 2008.11.12 Unknown Script Virus
SecureWeb-Gateway 6.7.6 2008.11.12 Heuristic.Script.Rce
Sophos 4.35.0 2008.11.12 -
Sunbelt 3.1.1783.2 2008.11.05 -
Symantec 10 2008.11.11 -
TheHacker 6.3.1.1.149 2008.11.12 -
TrendMicro 8.700.0.1004 2008.11.11 Mal_Otorun3
VBA32 3.12.8.9 2008.11.11 -
ViRobot 2008.11.12.1462 2008.11.12 -
VirusBuster 4.5.11.0 2008.11.11 -
Information additionnelle
Tamano archivo: 337417 bytes
MD5...: f3a1c654f1c0a6f49d067c782de5fd91
SHA1..: 7861bbd2fdbf691a0a4d3cd7e06ae44232616c4a
SHA256: 73bca5d289ff9072f056ee278d8d68b4c9bdf91d8d88fb86e7a982296b80f566
SHA512: ec5961ccdac8b4fc6ddd98ca8163d722e2d755729ee41a60ae47d04a7dc8712b
b7d8a0982bd2294e5236cafe2f668fb3aa815a1c107919a8826f8c121b068a9e
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -
et puis le contenu de log.txt de hijackthis est :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Mehdi at 2008-11-21 15:35:04
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 9 GB (60%) free of 15 GB
Total RAM: 2038 MB (76% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:37, on 21/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\DellTPad\HidFind.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\Program Files\vista\WFlip050\WinFlip.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Telechargements\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Mehdi.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Ywkiqkwu] D:\Program Files\Freegate\fg677p.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [SpiderH] C:\WINDOWS\system32\SpiderH.vbs
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: Aqua Dock 1.lnk = C:\Program Files\vista\Aqua Dock\Aqua Dock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Aqua Dock 2.lnk = C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: WinFlip.lnk = C:\Program Files\vista\WFlip050\WinFlip.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Aqua Dock 1.lnk = C:\Program Files\vista\Aqua Dock\Aqua Dock.exe (User 'Default user')
O4 - .DEFAULT Startup: Aqua Dock 2.lnk = C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe (User 'Default user')
O4 - .DEFAULT Startup: WinFlip.lnk = C:\Program Files\vista\WFlip050\WinFlip.exe (User 'Default user')
O4 - Startup: Aqua Dock 1.lnk = C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
O4 - Startup: Aqua Dock 2.lnk = C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
O4 - Startup: WinFlip.lnk = C:\Program Files\vista\WFlip050\WinFlip.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {05CA9FB0-3E3E-4b36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_4_0.cab
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
j'ai fais analyser le .vbs par virus total et ca donne ca :
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.11.2 2008.11.12 VBS/Wallpaper
AntiVir 7.9.0.31 2008.11.11 HTML/Rce.Gen
Authentium 5.1.0.4 2008.11.11 -
Avast 4.8.1248.0 2008.11.11 -
AVG 8.0.0.161 2008.11.11 -
BitDefender 7.2 2008.11.12 -
CAT-QuickHeal 9.50 2008.11.11 VBSWGE.based
ClamAV 0.94.1 2008.11.12 -
DrWeb 4.44.0.09170 2008.11.12 modification of VBS.Tune
eSafe 7.0.17.0 2008.11.11 -
eTrust-Vet 31.6.6204 2008.11.11 -
Ewido 4.0 2008.11.11 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.12 Trojan.VBS.Wallpaper
Fortinet 3.117.0.0 2008.11.12 -
GData 19 2008.11.12 -
Ikarus T3.1.1.45.0 2008.11.12 Trojan.VBS.Wallpaper
K7AntiVirus 7.10.522 2008.11.11 -
Kaspersky 7.0.0.125 2008.11.12 Trojan.VBS.Wallpaper
McAfee 5431 2008.11.12 -
Microsoft 1.4104 2008.11.12 -
NOD32 3605 2008.11.12 -
Norman 5.80.02 2008.11.11 -
Panda 9.0.0.4 2008.11.11 Suspicious file
PCTools 4.4.2.0 2008.11.11 -
Prevx1 V2 2008.11.12 -
Rising 21.03.20.00 2008.11.12 Unknown Script Virus
SecureWeb-Gateway 6.7.6 2008.11.12 Heuristic.Script.Rce
Sophos 4.35.0 2008.11.12 -
Sunbelt 3.1.1783.2 2008.11.05 -
Symantec 10 2008.11.11 -
TheHacker 6.3.1.1.149 2008.11.12 -
TrendMicro 8.700.0.1004 2008.11.11 Mal_Otorun3
VBA32 3.12.8.9 2008.11.11 -
ViRobot 2008.11.12.1462 2008.11.12 -
VirusBuster 4.5.11.0 2008.11.11 -
Information additionnelle
Tamano archivo: 337417 bytes
MD5...: f3a1c654f1c0a6f49d067c782de5fd91
SHA1..: 7861bbd2fdbf691a0a4d3cd7e06ae44232616c4a
SHA256: 73bca5d289ff9072f056ee278d8d68b4c9bdf91d8d88fb86e7a982296b80f566
SHA512: ec5961ccdac8b4fc6ddd98ca8163d722e2d755729ee41a60ae47d04a7dc8712b
b7d8a0982bd2294e5236cafe2f668fb3aa815a1c107919a8826f8c121b068a9e
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -
et puis le contenu de log.txt de hijackthis est :
Logfile of random's system information tool 1.04 (written by random/random)
Run by Mehdi at 2008-11-21 15:35:04
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 9 GB (60%) free of 15 GB
Total RAM: 2038 MB (76% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:37, on 21/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\DellTPad\HidFind.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\Program Files\vista\WFlip050\WinFlip.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Telechargements\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Mehdi.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Ywkiqkwu] D:\Program Files\Freegate\fg677p.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [SpiderH] C:\WINDOWS\system32\SpiderH.vbs
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: Aqua Dock 1.lnk = C:\Program Files\vista\Aqua Dock\Aqua Dock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Aqua Dock 2.lnk = C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: WinFlip.lnk = C:\Program Files\vista\WFlip050\WinFlip.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Aqua Dock 1.lnk = C:\Program Files\vista\Aqua Dock\Aqua Dock.exe (User 'Default user')
O4 - .DEFAULT Startup: Aqua Dock 2.lnk = C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe (User 'Default user')
O4 - .DEFAULT Startup: WinFlip.lnk = C:\Program Files\vista\WFlip050\WinFlip.exe (User 'Default user')
O4 - Startup: Aqua Dock 1.lnk = C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
O4 - Startup: Aqua Dock 2.lnk = C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
O4 - Startup: WinFlip.lnk = C:\Program Files\vista\WFlip050\WinFlip.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {05CA9FB0-3E3E-4b36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_4_0.cab
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - D:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
re
bon pas de rsit .. tans pis
tu es infecté par : SpiderH.vbs
je t apporte uen solution :
Telecharge UsbFix sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
-->choisis l option 1 (nettoyage)
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
bon pas de rsit .. tans pis
tu es infecté par : SpiderH.vbs
je t apporte uen solution :
Telecharge UsbFix sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
-->choisis l option 1 (nettoyage)
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Resalut,
voila desole du retard; j'ai eu un contre temps vu que j'ai insallé usbfix sur une 2eme partition ce qui m'a fait perdre un peu de temps pour comprendre pourquoi le scan ne donnait rien :))
alors voila :
-------------- UsbFix V2.410 ---------------
* User : Alex - BINON-LAPTOP
* Outils mis a jours le 20/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 16:23:19 le 21/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Mehdi\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Program Files\Freegate\fg677p.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\vista\WFlip050\WinFlip.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur de CD-ROM
F: - Lecteur amovible
+- Contenu de l'autorun : F:\autorun.inf
[autorun]
shellexecute = Wallpaper.vbs
shell\Open\Command=Wscript \Wallpaper.vbs
shell\Explore\Command=Wscript \Wallpaper.vbs
--------------- [ Lecteur C ] ----------------
C: - Lecteur fixe
+- Listing des fichiers présents :
[14/11/2008 20:40][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[18/11/2008 19:14][---hs----] C:\boot.ini
[21/11/2008 16:23][--a------] C:\UsbFix.txt
[14/11/2008 20:40][--a------] C:\CONFIG.SYS
[14/11/2008 20:40][--a------] C:\IO.SYS
[14/11/2008 20:40][--a------] C:\MSDOS.SYS
[14/11/2008 20:40][--a------] C:\pagefile.sys
--------------- [ Lecteur D ] ----------------
D: - Lecteur fixe
+- Listing des fichiers présents :
--------------- [ Lecteur E ] ----------------
E: - Lecteur de CD-ROM
+- Listing des fichiers présents :
--------------- [ Lecteur F ] ----------------
F: - Lecteur amovible
+- Listing des fichiers présents :
[28/04/2008 01:25][---hs----] F:\Wallpaper.vbs
[02/09/2007 19:28][--a------] F:\Counter Strike 1.6.exe
[02/09/2007 19:28][--a------] F:\codeblocks-8.02mingw-setup.exe
[21/11/2008 16:19][--ahs----] F:\autorun.inf
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
VisualTaskTips=C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Apoint=C:\Program Files\DellTPad\Apoint.exe
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SigmatelSysTrayApp=%ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY.exe
Ywkiqkwu=D:\Program Files\Freegate\fg677p.exe
Openwares LiveUpdate=C:\Program Files\LiveUpdate\LiveUpdate.exe
DELL Webcam Manager="C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
--------------- [ Registre / Mountpoint2 ] ----------------
-> Recherche négative.
--------------- [ Nettoyage des disques ] ----------------
Supprimé ! - [28/04/2008 01:25][--ahs----] C:\WINDOWS\system32\SpiderH.vbs
F:\autorun.inf ~> fichier appelé : "F:\Wscript \Wallpaper.vbs" ( absent ! )
Supprimé ! - [21/11/2008 16:19][--ahs----] F:\autorun.inf
Supprimé ! - [28/04/2008 01:25][---hs----] F:\Wallpaper.vbs
--------------- [ Resumé ] ----------------
-> /!\ Le resultat doit etre interprété par un spécialiste /!\
[14/11/2008 20:40][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[18/11/2008 19:14][---hs----] C:\boot.ini
[02/09/2007 19:28][--a------] F:\Counter Strike 1.6.exe
[02/09/2007 19:28][--a------] F:\codeblocks-8.02mingw-setup.exe
--------------- ! Fin du rapport ! ----------------
alors ? diagnostique ??
PS : merci beaucoup de m'aider..
voila desole du retard; j'ai eu un contre temps vu que j'ai insallé usbfix sur une 2eme partition ce qui m'a fait perdre un peu de temps pour comprendre pourquoi le scan ne donnait rien :))
alors voila :
-------------- UsbFix V2.410 ---------------
* User : Alex - BINON-LAPTOP
* Outils mis a jours le 20/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 16:23:19 le 21/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Mehdi\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Program Files\Freegate\fg677p.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\vista\WFlip050\WinFlip.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur de CD-ROM
F: - Lecteur amovible
+- Contenu de l'autorun : F:\autorun.inf
[autorun]
shellexecute = Wallpaper.vbs
shell\Open\Command=Wscript \Wallpaper.vbs
shell\Explore\Command=Wscript \Wallpaper.vbs
--------------- [ Lecteur C ] ----------------
C: - Lecteur fixe
+- Listing des fichiers présents :
[14/11/2008 20:40][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[18/11/2008 19:14][---hs----] C:\boot.ini
[21/11/2008 16:23][--a------] C:\UsbFix.txt
[14/11/2008 20:40][--a------] C:\CONFIG.SYS
[14/11/2008 20:40][--a------] C:\IO.SYS
[14/11/2008 20:40][--a------] C:\MSDOS.SYS
[14/11/2008 20:40][--a------] C:\pagefile.sys
--------------- [ Lecteur D ] ----------------
D: - Lecteur fixe
+- Listing des fichiers présents :
--------------- [ Lecteur E ] ----------------
E: - Lecteur de CD-ROM
+- Listing des fichiers présents :
--------------- [ Lecteur F ] ----------------
F: - Lecteur amovible
+- Listing des fichiers présents :
[28/04/2008 01:25][---hs----] F:\Wallpaper.vbs
[02/09/2007 19:28][--a------] F:\Counter Strike 1.6.exe
[02/09/2007 19:28][--a------] F:\codeblocks-8.02mingw-setup.exe
[21/11/2008 16:19][--ahs----] F:\autorun.inf
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
VisualTaskTips=C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Apoint=C:\Program Files\DellTPad\Apoint.exe
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SigmatelSysTrayApp=%ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY.exe
Ywkiqkwu=D:\Program Files\Freegate\fg677p.exe
Openwares LiveUpdate=C:\Program Files\LiveUpdate\LiveUpdate.exe
DELL Webcam Manager="C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
--------------- [ Registre / Mountpoint2 ] ----------------
-> Recherche négative.
--------------- [ Nettoyage des disques ] ----------------
Supprimé ! - [28/04/2008 01:25][--ahs----] C:\WINDOWS\system32\SpiderH.vbs
F:\autorun.inf ~> fichier appelé : "F:\Wscript \Wallpaper.vbs" ( absent ! )
Supprimé ! - [21/11/2008 16:19][--ahs----] F:\autorun.inf
Supprimé ! - [28/04/2008 01:25][---hs----] F:\Wallpaper.vbs
--------------- [ Resumé ] ----------------
-> /!\ Le resultat doit etre interprété par un spécialiste /!\
[14/11/2008 20:40][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[18/11/2008 19:14][---hs----] C:\boot.ini
[02/09/2007 19:28][--a------] F:\Counter Strike 1.6.exe
[02/09/2007 19:28][--a------] F:\codeblocks-8.02mingw-setup.exe
--------------- ! Fin du rapport ! ----------------
alors ? diagnostique ??
PS : merci beaucoup de m'aider..
relance usbfix et fait la vaccination
tu devrais pourvoir changer ton fon d ecran ... tu confirmes ??
tu devrais pourvoir changer ton fon d ecran ... tu confirmes ??
non, désolé mais je ne confirme pas !!
j'arrive toujours pas a changer de fond d'ecran, mais la vaccination c'est correctement effectuée a ce que j'ai compris, je pense qu'il y a des clés dans la base de registre dont le script a modifier les valeur et que je doit retablir..
Personnellement j'evite toujours de toucher a la base de registre sauf si je suis guidé par quelqu'un qui s'y connait !!
donc je veux pas m'aventurer a ca, surtout que j'ai essayer de comprendre ce que faisait ce script et j'ai pas tout compris, je m'y connais assez en langage c et java mais il y a des trucs dans vbscript qui me depassent un peu...
j'arrive toujours pas a changer de fond d'ecran, mais la vaccination c'est correctement effectuée a ce que j'ai compris, je pense qu'il y a des clés dans la base de registre dont le script a modifier les valeur et que je doit retablir..
Personnellement j'evite toujours de toucher a la base de registre sauf si je suis guidé par quelqu'un qui s'y connait !!
donc je veux pas m'aventurer a ca, surtout que j'ai essayer de comprendre ce que faisait ce script et j'ai pas tout compris, je m'y connais assez en langage c et java mais il y a des trucs dans vbscript qui me depassent un peu...
voici le resultat du rapport avec SmitFraudFix v2.376 :
SmitFraudFix v2.376
Rapport fait à 17:12:05,76, 21/11/2008
Executé à partir de d:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\Program Files\vista\WFlip050\WinFlip.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Notepad++\notepad++.exe
d:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\autorun.inf PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Mini de réseau local sans fil Wireless 1395 de Dell - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.376
Rapport fait à 17:12:05,76, 21/11/2008
Executé à partir de d:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\Program Files\vista\WFlip050\WinFlip.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Notepad++\notepad++.exe
d:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\autorun.inf PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alex\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alex\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Mini de réseau local sans fil Wireless 1395 de Dell - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
voici le rapport mais je pense pas qu'il aie été efficace...
Tu as compris de quoi il s'agissait pour le script ??
SmitFraudFix v2.376
Rapport fait à 17:47:34,28, 21/11/2008
Executé à partir de D:\Telechargements\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\autorun.inf
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Tu as compris de quoi il s'agissait pour le script ??
SmitFraudFix v2.376
Rapport fait à 17:47:34,28, 21/11/2008
Executé à partir de D:\Telechargements\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
Problème suppression C:\autorun.inf
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AEA5410-FEDE-46D8-A7FC-54929FEC1DF5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
non il y a eu de l'amelioration puisque le fond d'ecran a disparu maintenant il est tout noir, mais je ne peux pas pour autant le changer, tu sais ce n'est pas tellement ca qui me derange, c'est surtout le message qui s'affiche a chaque ouverture de session "Hi !! dont worry i'm a friend !! have a nice day !!!"
et je t'ai reenvoyé le script regarde dans ta boite a message !!!
et je t'ai reenvoyé le script regarde dans ta boite a message !!!
RE
oui g le script je suis en train de l analyser
en attendant fais ceci :
Télécharge ToolsCleaner sur ton bureau.
-->
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
oui g le script je suis en train de l analyser
en attendant fais ceci :
Télécharge ToolsCleaner sur ton bureau.
-->
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
re
j attend le rapport toolcleaner
j ai lu le script ...
j ai besoin d une info de plus , on le fera en mp
et je ferais une maj usbfix afin de soigner ton pc
j attend le rapport toolcleaner
j ai lu le script ...
j ai besoin d une info de plus , on le fera en mp
et je ferais une maj usbfix afin de soigner ton pc
c'est bon pour tCleaner il a tout effacé ou presque par ce que j'en avez deja desinstaller quelque uns avant lui, mais c'est pas le plus important...
tu t'en sors avec le script ??? deja, tu t'y connais toi en VBscript ???
PS : j'arrive maintenant a changer mon fond d'ecran, j'ai juste effacé la clé que le script avait rajouté avec la ligne :
BGfix="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\NoChangingWallPaper"
tu t'en sors avec le script ??? deja, tu t'y connais toi en VBscript ???
PS : j'arrive maintenant a changer mon fond d'ecran, j'ai juste effacé la clé que le script avait rajouté avec la ligne :
BGfix="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\NoChangingWallPaper"
lol
oué pas de soucis avec le script et t as bien fé de virer cette clé
je vais t envoyer un message privé pour la suite
oué pas de soucis avec le script et t as bien fé de virer cette clé
je vais t envoyer un message privé pour la suite
je voudrais que tu aille a cette clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName
tu clic droit et exporter vers tes documents et tu lui donnes un nom
tu auras dans tes document un fichier .reg
tu fais un clic droit dessus
tu choisi modifier
et tu copie colle l intégralité du contenu ici en messagerie privé
a te lire
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName
tu clic droit et exporter vers tes documents et tu lui donnes un nom
tu auras dans tes document un fichier .reg
tu fais un clic droit dessus
tu choisi modifier
et tu copie colle l intégralité du contenu ici en messagerie privé
a te lire
- 1
- 2
Suivant
