A voir également:
- Virus SINOWAL impossible a supprimer
- Fichier impossible à supprimer - Guide
- Impossible de supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Supprimer pub youtube - Accueil - Streaming
14 réponses
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
25 nov. 2008 à 17:33
25 nov. 2008 à 17:33
salut,
Télécharge UsbFix de Chiquitine1664 sur ton bureau
--> Lance l'installation avec les paramêtres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
Télécharge UsbFix de Chiquitine1664 sur ton bureau
--> Lance l'installation avec les paramêtres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
4 déc. 2008 à 18:03
4 déc. 2008 à 18:03
Bonjour,
je me permets une intrusion pour aller un peu rapidement.
Il me semble que c'est une infection Mebroot.
Ce malware dérobe les informations confidentielles, en particulier Mots de passe et données bancaires.
Il sera nécessaire que tu changes tout cela en fin de désinfection et que tu vérifies auprès de ta banque que rien d'anormal ne s'est passé.
Pour éradiquer :
Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe Un rapport sera généré : mbr.log
En cas d'infection, ce message MBR rootkit code detected va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra original MBR restored successfully !
Poste ce rapport et supprimes-le ensuite.
Relance mbr.exe.
Poste le nouveau rapport.
je me permets une intrusion pour aller un peu rapidement.
Il me semble que c'est une infection Mebroot.
Ce malware dérobe les informations confidentielles, en particulier Mots de passe et données bancaires.
Il sera nécessaire que tu changes tout cela en fin de désinfection et que tu vérifies auprès de ta banque que rien d'anormal ne s'est passé.
Pour éradiquer :
Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe Un rapport sera généré : mbr.log
En cas d'infection, ce message MBR rootkit code detected va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra original MBR restored successfully !
Poste ce rapport et supprimes-le ensuite.
Relance mbr.exe.
Poste le nouveau rapport.
merci pour ta répone, mais qd je lance usbfix.exe j'ai un message d'erreur me disant que ce n'est pas une application win32 Valide. (pour info je suis sous win xp)
merci
a+
merci
a+
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
26 nov. 2008 à 09:38
26 nov. 2008 à 09:38
ok,
Télécharge FindyKill de Chiquitine1664
****Notes importantes****
* si tu as le programme "Elibagla" sur ton PC , supprime le ( risque de conflit entre les deux outils ) .
Fais un clic droit sur le lien, enregister sous .....sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Dézippe le sur le bureau
Entre dans le dossier FindyKill
double clic sur FindyKill.exe
choisi l'option 1 (recherche)
un rapport va s ouvrir, post le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Télécharge FindyKill de Chiquitine1664
****Notes importantes****
* si tu as le programme "Elibagla" sur ton PC , supprime le ( risque de conflit entre les deux outils ) .
Fais un clic droit sur le lien, enregister sous .....sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Dézippe le sur le bureau
Entre dans le dossier FindyKill
double clic sur FindyKill.exe
choisi l'option 1 (recherche)
un rapport va s ouvrir, post le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et voilà le rapport "findykill"
encore merci pour ton aide
a+
----------------- FindyKill V4.705 ------------------
* User : mnass - COXYMAT
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/11/08 par Chiquitine29
* Recherche effectuée à 23:55:00 le mer. 26/11/2008
* Windows XP - Internet Explorer 6.0.2900.2180
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\mnass.TEST\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\MNASS~1.TES\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\mnass.TEST\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
eMuleAutoStart=D:\Program Files\eMule\emule.exe -AutoStart
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
High Definition Audio Property Page Shortcut=HDAShCut.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
AVP="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
Adobe Reader Speed Launcher="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
--------------- [ Registre / Clés infectieuses ] ----------------
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
Ip6Fw - Type de démarrage = 3
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
H: - Lecteur amovible
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
encore merci pour ton aide
a+
----------------- FindyKill V4.705 ------------------
* User : mnass - COXYMAT
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/11/08 par Chiquitine29
* Recherche effectuée à 23:55:00 le mer. 26/11/2008
* Windows XP - Internet Explorer 6.0.2900.2180
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\mnass.TEST\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\MNASS~1.TES\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\mnass.TEST\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
eMuleAutoStart=D:\Program Files\eMule\emule.exe -AutoStart
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
High Definition Audio Property Page Shortcut=HDAShCut.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
AVP="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
Adobe Reader Speed Launcher="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
--------------- [ Registre / Clés infectieuses ] ----------------
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
Ip6Fw - Type de démarrage = 3
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
H: - Lecteur amovible
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
27 nov. 2008 à 07:53
27 nov. 2008 à 07:53
pas de bagle...c'est bien
- Télécharge HiJackThis.exe de Merijn(prog de diagnostic) sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau
----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
installer hijackthis correctement:
https://forums.cnetfrance.fr
- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
- Télécharge HiJackThis.exe de Merijn(prog de diagnostic) sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau
----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
installer hijackthis correctement:
https://forums.cnetfrance.fr
- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
et voilà le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:05, on 27/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HiJackThis\HiJackThis.exe
C:\Program Files\HiJackThis\Trend Micro\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC903D69-8DD3-4BB4-B2D8-323764CB3AD5}: NameServer = 192.168.1.1
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:05, on 27/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HiJackThis\HiJackThis.exe
C:\Program Files\HiJackThis\Trend Micro\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC903D69-8DD3-4BB4-B2D8-323764CB3AD5}: NameServer = 192.168.1.1
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
28 nov. 2008 à 09:55
28 nov. 2008 à 09:55
le log est propre,
tu peux me dire ou se trouve les deux endroits que Kaspersky désigne?
tu peux me dire ou se trouve les deux endroits que Kaspersky désigne?
salut,
alors voici ce que me dit kaspersky:
cheval de Troie Backdoor.Win32.Sinowal.kv dans \Device\Harddisk1\DR1 et dans \Device\Harddisk2\DR6
--> il me dit que c'est réparé mais me le détecte à chaque redémarrage !!
D'autre part, il me dit qu'il a trouvé et supprimé:
- cheval de Troie Backdoor.Win32.Sinowal.aax sur Le fichier: C:\Documents and Settings\mnass\Local Settings\Temporary Internet Files\Content.IE5\LC99BHT3\index[1]
et
- cheval de Troie Trojan-Downloader.Win32.Bagle.aev sur le fichier: D:\Program Files\eMule\Inctoming\DeepBurner Pro 1.9.0.228.zip/run.exe
--> Mais ces fichier sont déjà supprimés..
Je n'y comprends vraiment rien !!
Merci !!!!
Math
alors voici ce que me dit kaspersky:
cheval de Troie Backdoor.Win32.Sinowal.kv dans \Device\Harddisk1\DR1 et dans \Device\Harddisk2\DR6
--> il me dit que c'est réparé mais me le détecte à chaque redémarrage !!
D'autre part, il me dit qu'il a trouvé et supprimé:
- cheval de Troie Backdoor.Win32.Sinowal.aax sur Le fichier: C:\Documents and Settings\mnass\Local Settings\Temporary Internet Files\Content.IE5\LC99BHT3\index[1]
et
- cheval de Troie Trojan-Downloader.Win32.Bagle.aev sur le fichier: D:\Program Files\eMule\Inctoming\DeepBurner Pro 1.9.0.228.zip/run.exe
--> Mais ces fichier sont déjà supprimés..
Je n'y comprends vraiment rien !!
Merci !!!!
Math
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
4 déc. 2008 à 22:49
4 déc. 2008 à 22:49
Bonsoir,
merci Lyonnais
coxymat,suis strictement ce que te dis Lyonnais
je pense que sa vision de ton problème est plus que meilleur!
par contre, ceci me laisse dubitatif...!!!
cheval de Troie Trojan-Downloader.Win32.Bagle.aev
qu'en penses-tu????
merci Lyonnais
coxymat,suis strictement ce que te dis Lyonnais
je pense que sa vision de ton problème est plus que meilleur!
par contre, ceci me laisse dubitatif...!!!
cheval de Troie Trojan-Downloader.Win32.Bagle.aev
qu'en penses-tu????
Salut,
je reviens toujour savec mon problème....
mais avec mon boulot prenant ces derniers temps + les fêtes je n'ai pas eu le temps de m'en occuper plus tôt...
de plus que maintenant j'ai constaté que le pc de mes parents est aussi infecté....... ça devient donc très gênant....
est ce que ce virus peut faire sauter la connexion internet ??
voilà donc le premier rapport "MBR", avant d'exécuter "%userprofile%\Bureau\mbr" -f (qui d'ailleurs me donne un message d'erreur - peut être un pb de chemin ??)
mais est ce que ce premier rapport vous "parle" ?
"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2542d6c1 size 0x1ae !
copy of MBR has been found in sector 62 !"
Merci bcp pour votre aide
je reviens toujour savec mon problème....
mais avec mon boulot prenant ces derniers temps + les fêtes je n'ai pas eu le temps de m'en occuper plus tôt...
de plus que maintenant j'ai constaté que le pc de mes parents est aussi infecté....... ça devient donc très gênant....
est ce que ce virus peut faire sauter la connexion internet ??
voilà donc le premier rapport "MBR", avant d'exécuter "%userprofile%\Bureau\mbr" -f (qui d'ailleurs me donne un message d'erreur - peut être un pb de chemin ??)
mais est ce que ce premier rapport vous "parle" ?
"Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2542d6c1 size 0x1ae !
copy of MBR has been found in sector 62 !"
Merci bcp pour votre aide
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 janv. 2009 à 20:19
15 janv. 2009 à 20:19
Bonjour,
Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Poste ce rapport et supprimes-le ensuite.
Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Poste ce rapport et supprimes-le ensuite.
merci..
j'ai bien copié le fichier sur le bureau (j'ai bien vérifié, le fichier a pparaît bien sur mon bureau), pourtant j'ai le message d'erreur suivant:
windows ne trouve pas 'C:\Documents and Settings\mnass.TEST\bureau\mbr .Vérifiez que vous avez entré le nom correctement et essayez à nouveau...
j'ai essayer plusieur fois... ça marche pas ......
j'ai bien copié le fichier sur le bureau (j'ai bien vérifié, le fichier a pparaît bien sur mon bureau), pourtant j'ai le message d'erreur suivant:
windows ne trouve pas 'C:\Documents and Settings\mnass.TEST\bureau\mbr .Vérifiez que vous avez entré le nom correctement et essayez à nouveau...
j'ai essayer plusieur fois... ça marche pas ......
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
15 janv. 2009 à 21:44
15 janv. 2009 à 21:44
Re,
tu as une session autre que mnass.TEST (qui n'aurait pas de catactères particuliers ?
Si non, crées en une avec des droits d'administrateur et recommence la totalité de la procédure de fixmbr à partir de cette session.
tu as une session autre que mnass.TEST (qui n'aurait pas de catactères particuliers ?
Si non, crées en une avec des droits d'administrateur et recommence la totalité de la procédure de fixmbr à partir de cette session.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 janv. 2009 à 17:54
16 janv. 2009 à 17:54
Bonjour,
oui, mbr.exe
oui, mbr.exe
voilà, j'ai donc créé une nouvelle session avec droits administrateur que j'ai appelée "restore"
ensuite en refaisant la procédure j'ai maintenant ce message d'erreur:
'C:\Documents and Settings\restore\bureau\mbr .Vérifiez que vous avez entré le nom correctement et essayez à nouveau...
???
merci...
Math
ensuite en refaisant la procédure j'ai maintenant ce message d'erreur:
'C:\Documents and Settings\restore\bureau\mbr .Vérifiez que vous avez entré le nom correctement et essayez à nouveau...
???
merci...
Math
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 janv. 2009 à 19:42
16 janv. 2009 à 19:42
Re,
tu fais ceci exactement ?
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
=============
le fichier s'appelle bien mbr.exe ?
tu fais ceci exactement ?
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
=============
le fichier s'appelle bien mbr.exe ?
Bonjour à tous,
j'ai exactement le même problème :
J'ai exécuté la procédure avec mbr.exe.
Voici le rapport :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x86ac0268
NDIS: Carte Fast Ethernet compatible VIA -> SendCompleteHandler -> 0x86c80330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x075304A1
malicious code @ sector 0x075304A4 !
PE file found in sector at 0x075304BA !
Use "Recovery Console" command "fixmbr" to clear infection !
Que dois-je faire? Merci pour votre réponse.
j'ai exactement le même problème :
J'ai exécuté la procédure avec mbr.exe.
Voici le rapport :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x86ac0268
NDIS: Carte Fast Ethernet compatible VIA -> SendCompleteHandler -> 0x86c80330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x075304A1
malicious code @ sector 0x075304A4 !
PE file found in sector at 0x075304BA !
Use "Recovery Console" command "fixmbr" to clear infection !
Que dois-je faire? Merci pour votre réponse.