Infecté par winupgro
nicplet
-
tcallahan -
tcallahan -
Bonjour,
après avoir fait une chose interdite (crack.....), mon PC se trouve infecté par winupgro (Bagle) et je ne sais pas comment le nettoyer. Mon PC présente les symptômes classiques, à savoir impossibilité d'utiliser mes antivirus et autres cleaners. De plus, ma carte Wifi semble désactivé. J'ai donc dû me connecter en filaire pour accéder au net.
Qui peut m'aider?
Merci d'avance.
Nicplet
après avoir fait une chose interdite (crack.....), mon PC se trouve infecté par winupgro (Bagle) et je ne sais pas comment le nettoyer. Mon PC présente les symptômes classiques, à savoir impossibilité d'utiliser mes antivirus et autres cleaners. De plus, ma carte Wifi semble désactivé. J'ai donc dû me connecter en filaire pour accéder au net.
Qui peut m'aider?
Merci d'avance.
Nicplet
A voir également:
- Infecté par winupgro
- Alerte windows ordinateur infecté - Accueil - Arnaque
- L'ordinateur de simon a été infecté par un virus répertorié récemment ✓ - Forum Virus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Virus
- Infection par : ONLYPC Flow.co.in ✓ - Forum Virus
- Mustapha - Forum Windows
31 réponses
Tu est encore infecté.
Re télécharge FindyKill (par Chiquitine29) sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Ø Lance l'installation avec les paramètres par defaut
Ø Double-clique sur le raccourci FindyKill sur ton bureau
Ø Au menu principal, choisis l'option * 1 * (Recherche)
Ø Poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Re télécharge FindyKill (par Chiquitine29) sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Ø Lance l'installation avec les paramètres par defaut
Ø Double-clique sur le raccourci FindyKill sur ton bureau
Ø Au menu principal, choisis l'option * 1 * (Recherche)
Ø Poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
J'ai rebooté, mais ça ne va pas mieux. Par contre ma carte wifi refonctionne. C'est bon signe. Merci pour ça, déjà!
Voici le rapport:
----------------- FindyKill V4.709 ------------------
* User : Nico - NICOLAS
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/12/08 par Chiquitine29
* Recherche effectuée à 19:43:58 le jeu. 18/12/2008
* Windows XP - Internet Explorer 6.0.2900.5512
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [18/12/2008 18:06] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\Nico\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
--------------- [ Registre / Clés infectieuses ] ----------------
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 2
Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
----------------- FindyKill V4.709 ------------------
* User : Nico - NICOLAS
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/12/08 par Chiquitine29
* Recherche effectuée à 19:43:58 le jeu. 18/12/2008
* Windows XP - Internet Explorer 6.0.2900.5512
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Found ! [18/12/2008 18:06] - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\Nico\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
--------------- [ Registre / Clés infectieuses ] ----------------
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 2
Ip6Fw - Type de démarrage = 2
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
Je n"y connais pas grand chose, mais je ne vois rien d'étrange dasn le rapport que je viens de poster... dois-je m'inquiéter???
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe
* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :
:files
C:\InfoSat.txt
:commands
[emptytemp]
[Reboot]
* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
* Ferme OTMoveIt3 (en cliquant sur Exit)
Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus.
Clique alors sur "Yes" pour accepter...
Essaye de lancer Avira...
http://oldtimer.geekstogo.com/OTMoveIt3.exe
* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :
:files
C:\InfoSat.txt
:commands
[emptytemp]
[Reboot]
* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
* Ferme OTMoveIt3 (en cliquant sur Exit)
Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus.
Clique alors sur "Yes" pour accepter...
Essaye de lancer Avira...
Voici le rapport:
========== FILES ==========
C:\InfoSat.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\hsperfdata_Nico\352 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\etilqs_0Hm6E30VVOILkwLy632q scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Nico\Application Data\Sun\Java\Deployment\cache\6.0\49\77add9b1-22775601 scheduled to be deleted on reboot.
Java cache emptied.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12182008_201619
========== FILES ==========
C:\InfoSat.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\hsperfdata_Nico\352 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\etilqs_0Hm6E30VVOILkwLy632q scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Nico\Application Data\Sun\Java\Deployment\cache\6.0\49\77add9b1-22775601 scheduled to be deleted on reboot.
Java cache emptied.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12182008_201619
Le rapport en entier, ici, après reboot.
Avira ne fonctionne toujours pas! :-(
========== FILES ==========
C:\InfoSat.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\hsperfdata_Nico\352 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\etilqs_0Hm6E30VVOILkwLy632q scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Nico\Application Data\Sun\Java\Deployment\cache\6.0\49\77add9b1-22775601 scheduled to be deleted on reboot.
Java cache emptied.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12182008_201619
Files moved on Reboot...
File C:\DOCUME~1\Nico\LOCALS~1\Temp\hsperfdata_Nico\352 not found!
File C:\DOCUME~1\Nico\LOCALS~1\Temp\etilqs_0Hm6E30VVOILkwLy632q not found!
C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat moved successfully.
C:\Documents and Settings\Nico\Application Data\Sun\Java\Deployment\cache\6.0\49\77add9b1-22775601 moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\urlclassifier3.sqlite moved successfully.
Avira ne fonctionne toujours pas! :-(
========== FILES ==========
C:\InfoSat.txt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\hsperfdata_Nico\352 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Nico\LOCALS~1\Temp\etilqs_0Hm6E30VVOILkwLy632q scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Nico\Application Data\Sun\Java\Deployment\cache\6.0\49\77add9b1-22775601 scheduled to be deleted on reboot.
Java cache emptied.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12182008_201619
Files moved on Reboot...
File C:\DOCUME~1\Nico\LOCALS~1\Temp\hsperfdata_Nico\352 not found!
File C:\DOCUME~1\Nico\LOCALS~1\Temp\etilqs_0Hm6E30VVOILkwLy632q not found!
C:\WINDOWS\temp\Perflib_Perfdata_1b4.dat moved successfully.
C:\Documents and Settings\Nico\Application Data\Sun\Java\Deployment\cache\6.0\49\77add9b1-22775601 moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Nico\Local Settings\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\urlclassifier3.sqlite moved successfully.
T u n'as plus ce message "....win32 application non valide" si tu essayes de lancer AVIRA ??
On vérifie avec combofix
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Avant de telecharger, clique sur "enregistrer" renomme le en killbagle et enregistre le sur le bureau
Ø Double clique sur killbagle.exe.
=> Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
Ø Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Une fois fait, sur ton bureau double-clic sur killbagle.exe.
Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. /!\
En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
=> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
On vérifie avec combofix
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Avant de telecharger, clique sur "enregistrer" renomme le en killbagle et enregistre le sur le bureau
Ø Double clique sur killbagle.exe.
=> Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
Ø Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Une fois fait, sur ton bureau double-clic sur killbagle.exe.
Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. /!\
En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
=> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Et voilà la totalité du rapport de Combofix. En ai-je définitivement fini avec ce Bagle? Au fait, pourquoi une procédure aussi compliquée, n'existe-t-il pas d'antivirus pouvant nettoyer cette crasse? En tout cas, merci pour tout!
ComboFix 08-12-17.01 - Nico 2008-12-18 22:26:54.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.244 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nico\Bureau\killbagle.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\adaway.lic
c:\windows\system32\dumphive.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_IPRIP
-------\Service_Iprip
-------\Service_npf
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-18 au 2008-12-18 ))))))))))))))))))))))))))))))))))))
.
2008-12-18 20:16 . 2008-12-18 20:16 <REP> d-------- C:\_OTMoveIt
2008-12-17 22:15 . 2008-12-18 21:42 <REP> d-------- c:\program files\FindyKill
2008-12-17 19:50 . 2008-12-17 21:11 <REP> d-------- c:\windows\BDOSCAN8
2008-12-01 21:00 . 2008-12-07 21:28 <REP> d-------- c:\program files\RadCor
2008-11-30 21:42 . 2008-11-30 21:42 <REP> d-------- c:\documents and settings\Nico\DoctorWeb
2008-11-23 21:20 . 2008-11-23 21:31 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PhotoStitch
2008-11-23 17:04 . 2008-11-23 17:07 <REP> d-------- c:\documents and settings\Nico\.gimp-2.6
2008-11-23 17:04 . 2008-11-23 17:04 <REP> d-------- c:\documents and settings\Nico\.gegl-0.0
2008-11-23 17:01 . 2008-11-23 17:01 <REP> d-------- c:\program files\Gimp-2.0
2008-11-20 19:04 . 2008-11-20 19:04 <REP> d-------- c:\program files\ePaperPress
2008-11-20 18:46 . 2008-11-20 18:46 <REP> d-------- c:\documents and settings\Nico\Application Data\ePaperPress
2008-11-19 23:54 . 2008-11-19 23:54 <REP> d-------- c:\program files\Fichiers communs\PACE Anti-Piracy
2008-11-19 23:54 . 2008-11-19 23:54 <REP> d-------- c:\documents and settings\Nico\Application Data\PACE Anti-Piracy
2008-11-19 23:54 . 2008-11-19 23:54 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PACE Anti-Piracy
2008-11-19 23:01 . 2008-11-19 23:01 <REP> d-------- c:\program files\DxO Labs
2008-11-19 22:42 . 2008-11-20 08:03 <REP> d-------- c:\windows\system32\XPSViewer
2008-11-19 22:42 . 2008-11-19 22:42 <REP> d-------- c:\program files\Reference Assemblies
2008-11-19 22:42 . 2008-11-19 22:42 <REP> d-------- c:\program files\MSBuild
2008-11-19 22:39 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2008-11-19 22:12 . 2008-11-19 22:12 <REP> d-------- c:\program files\InterLok
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 21:29 --------- d-----w c:\documents and settings\Nico\Application Data\uTorrent
2008-12-18 19:41 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-12-18 19:41 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-16 21:45 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
2008-12-16 21:45 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-12-16 19:26 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-12-03 05:48 --------- d-----w c:\program files\Documents To Go
2008-12-03 05:45 --------- d-----w c:\program files\AvantGo
2008-11-29 09:43 --------- d-----w c:\program files\Canon
2008-11-15 18:17 --------- d-----w c:\program files\The GodFather
2008-11-13 18:11 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\iolo
2008-11-12 21:55 --------- d-----w c:\documents and settings\Nico\Application Data\iolo
2008-11-12 21:49 --------- d-----w c:\program files\iolo
2008-11-11 14:09 --------- d-----w c:\program files\ExtraFilm PhotoAssistant
2008-11-11 09:57 --------- d-----w c:\program files\eMule
2008-11-10 16:03 --------- d-----w c:\documents and settings\Nico\Application Data\Backup MyPC Deluxe
2008-11-10 15:58 --------- d-----w c:\program files\Roxio
2008-11-10 15:58 --------- d-----w c:\program files\Fichiers communs\Roxio Shared
2008-11-10 15:58 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-10 15:58 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\InstallShield
2008-11-08 15:58 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 18:21 --------- d-----w c:\program files\Yahoo!
2008-10-23 18:20 --------- d--h--w c:\program files\InstallShield Installation Information
2006-03-31 12:40 484,560 ----a-w c:\program files\DXSETUP.exe
2006-03-31 12:40 2,248,912 ----a-w c:\program files\dsetup32.dll
2006-03-31 12:39 74,448 ----a-w c:\program files\DSETUP.dll
2004-07-16 13:30 3,858 ----a-w c:\program files\directx redist.txt
2003-03-21 11:37 16,056 ----a-w c:\program files\owcstp16.dll
2006-05-06 16:42 7,260,160 ----a-w c:\program files\mozilla firefox\plugins\libvlc.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]
"TuneUp MemOptimizer"="c:\program files\TuneUp Utilities 2008\MemOptimizer.exe" [2008-06-20 153856]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-12-17 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]
c:\documents and settings\Nathalie2\Menu D‚marrer\Programmes\D‚marrage\
PowerReg Scheduler.exe [2008-03-24 233472]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"DT HPW"=c:\program files\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"SDTray"="c:\program files\Spyware Doctor\SDTrayApp.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\eMule.exe"=
"c:\\Palm\\Hotsync.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\nanoCom Corporation\\iSpQ VideoChat\\iSpQVideoChat8.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4662:TCP"= 4662:TCP:Emule
"4672:UDP"= 4672:UDP:Emule
R2 NwSapAgent;Agent SAP;c:\windows\System32\svchost.exe -k netsvcs [2001-09-28 14336]
R3 P1120VID;Creative WebCam NX Ultra;c:\windows\system32\DRIVERS\P1120Vid.sys [2007-03-09 1252474]
R3 USRPCI;USRobotics Wireless PCI Adapter Service;c:\windows\system32\DRIVERS\USRPCI.sys [2007-11-06 469216]
R3 WSIMD;wsimd Service;c:\windows\system32\DRIVERS\wsimd.sys [2008-01-13 54432]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2007-12-25 13352]
S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" [2008-07-25 191656]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [2007-09-02 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [2008-04-08 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [2008-04-08 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [2008-04-08 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [2008-04-08 98568]
S3 wlanndi5;wlanndi5 NDIS Protocol Driver;\??\c:\windows\system32\wlanndi5.SYS [2004-04-21 16384]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2bf41070-b2b1-21d1-b5c1-0305f4055515}]
c:\windows\svcr.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-18 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-{0228e555-4f9c-4e35-a3ec-b109a192b4c2} - c:\program files\Google\Gmail Notifier\gnotify.exe
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
Notify-WgaLogon - (no file)
SafeBoot-sglfb.sys
SafeBoot-tga.sys
SafeBoot-wd.sys
SafeBoot-sacsvr
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = localhost
mSearchAssistant = hxxp://www.google.com/ie
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
c:\windows\Downloaded Program Files\Rawflow.ocx - O16 -: {029FDBA6-3547-11D7-AA4C-0050BF051A00}
hxxp://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.camfrog.com/search.php?q=
FF - prefs.js: browser.startup.homepage - www.google.be
FF - prefs.js: keyword.URL - hxxp://search.camfrog.com/search.php?q=
FF - plugin: c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF - plugin: c:\palm\PACKAG~1\NPInstal.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npicdclient.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npLivingActor.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMCult3DP.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
FF - plugin: c:\program files\Yahoo!\Common\npyaxmpb.dll
FF - plugin: c:\program files\Yahoo!\Shared\npYState.dll
FF - plugin: c:\windows\System32\Rawflow\npicdclient.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
.
------- Associations de fichier -------
.
JSEFile=NOTEPAD.EXE %1
regfile=NOTEPAD.EXE %1
VBEFile=NOTEPAD.EXE %1
VBSFile=NOTEPAD.EXE %1
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 22:31:03
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\PSSdk23]
"ImagePath"="\??\c:\windows\System32\Drivers\PsSdk23.drv"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
c:\windows\system32\oodag.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\snmp.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2008-12-18 22:37:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-18 21:37:26
Avant-CF: 52.161.851.392 octets libres
Après-CF: 52,110,942,208 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
245 --- E O F --- 2008-12-17 21:32:43
ComboFix 08-12-17.01 - Nico 2008-12-18 22:26:54.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.244 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nico\Bureau\killbagle.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\adaway.lic
c:\windows\system32\dumphive.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_IPRIP
-------\Service_Iprip
-------\Service_npf
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-18 au 2008-12-18 ))))))))))))))))))))))))))))))))))))
.
2008-12-18 20:16 . 2008-12-18 20:16 <REP> d-------- C:\_OTMoveIt
2008-12-17 22:15 . 2008-12-18 21:42 <REP> d-------- c:\program files\FindyKill
2008-12-17 19:50 . 2008-12-17 21:11 <REP> d-------- c:\windows\BDOSCAN8
2008-12-01 21:00 . 2008-12-07 21:28 <REP> d-------- c:\program files\RadCor
2008-11-30 21:42 . 2008-11-30 21:42 <REP> d-------- c:\documents and settings\Nico\DoctorWeb
2008-11-23 21:20 . 2008-11-23 21:31 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PhotoStitch
2008-11-23 17:04 . 2008-11-23 17:07 <REP> d-------- c:\documents and settings\Nico\.gimp-2.6
2008-11-23 17:04 . 2008-11-23 17:04 <REP> d-------- c:\documents and settings\Nico\.gegl-0.0
2008-11-23 17:01 . 2008-11-23 17:01 <REP> d-------- c:\program files\Gimp-2.0
2008-11-20 19:04 . 2008-11-20 19:04 <REP> d-------- c:\program files\ePaperPress
2008-11-20 18:46 . 2008-11-20 18:46 <REP> d-------- c:\documents and settings\Nico\Application Data\ePaperPress
2008-11-19 23:54 . 2008-11-19 23:54 <REP> d-------- c:\program files\Fichiers communs\PACE Anti-Piracy
2008-11-19 23:54 . 2008-11-19 23:54 <REP> d-------- c:\documents and settings\Nico\Application Data\PACE Anti-Piracy
2008-11-19 23:54 . 2008-11-19 23:54 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PACE Anti-Piracy
2008-11-19 23:01 . 2008-11-19 23:01 <REP> d-------- c:\program files\DxO Labs
2008-11-19 22:42 . 2008-11-20 08:03 <REP> d-------- c:\windows\system32\XPSViewer
2008-11-19 22:42 . 2008-11-19 22:42 <REP> d-------- c:\program files\Reference Assemblies
2008-11-19 22:42 . 2008-11-19 22:42 <REP> d-------- c:\program files\MSBuild
2008-11-19 22:39 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2008-11-19 22:12 . 2008-11-19 22:12 <REP> d-------- c:\program files\InterLok
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 21:29 --------- d-----w c:\documents and settings\Nico\Application Data\uTorrent
2008-12-18 19:41 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-12-18 19:41 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-16 21:45 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
2008-12-16 21:45 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-12-16 19:26 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-12-03 05:48 --------- d-----w c:\program files\Documents To Go
2008-12-03 05:45 --------- d-----w c:\program files\AvantGo
2008-11-29 09:43 --------- d-----w c:\program files\Canon
2008-11-15 18:17 --------- d-----w c:\program files\The GodFather
2008-11-13 18:11 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\iolo
2008-11-12 21:55 --------- d-----w c:\documents and settings\Nico\Application Data\iolo
2008-11-12 21:49 --------- d-----w c:\program files\iolo
2008-11-11 14:09 --------- d-----w c:\program files\ExtraFilm PhotoAssistant
2008-11-11 09:57 --------- d-----w c:\program files\eMule
2008-11-10 16:03 --------- d-----w c:\documents and settings\Nico\Application Data\Backup MyPC Deluxe
2008-11-10 15:58 --------- d-----w c:\program files\Roxio
2008-11-10 15:58 --------- d-----w c:\program files\Fichiers communs\Roxio Shared
2008-11-10 15:58 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-10 15:58 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\InstallShield
2008-11-08 15:58 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 18:21 --------- d-----w c:\program files\Yahoo!
2008-10-23 18:20 --------- d--h--w c:\program files\InstallShield Installation Information
2006-03-31 12:40 484,560 ----a-w c:\program files\DXSETUP.exe
2006-03-31 12:40 2,248,912 ----a-w c:\program files\dsetup32.dll
2006-03-31 12:39 74,448 ----a-w c:\program files\DSETUP.dll
2004-07-16 13:30 3,858 ----a-w c:\program files\directx redist.txt
2003-03-21 11:37 16,056 ----a-w c:\program files\owcstp16.dll
2006-05-06 16:42 7,260,160 ----a-w c:\program files\mozilla firefox\plugins\libvlc.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]
"TuneUp MemOptimizer"="c:\program files\TuneUp Utilities 2008\MemOptimizer.exe" [2008-06-20 153856]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-12-17 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]
c:\documents and settings\Nathalie2\Menu D‚marrer\Programmes\D‚marrage\
PowerReg Scheduler.exe [2008-03-24 233472]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"DT HPW"=c:\program files\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"SDTray"="c:\program files\Spyware Doctor\SDTrayApp.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\eMule.exe"=
"c:\\Palm\\Hotsync.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\nanoCom Corporation\\iSpQ VideoChat\\iSpQVideoChat8.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4662:TCP"= 4662:TCP:Emule
"4672:UDP"= 4672:UDP:Emule
R2 NwSapAgent;Agent SAP;c:\windows\System32\svchost.exe -k netsvcs [2001-09-28 14336]
R3 P1120VID;Creative WebCam NX Ultra;c:\windows\system32\DRIVERS\P1120Vid.sys [2007-03-09 1252474]
R3 USRPCI;USRobotics Wireless PCI Adapter Service;c:\windows\system32\DRIVERS\USRPCI.sys [2007-11-06 469216]
R3 WSIMD;wsimd Service;c:\windows\system32\DRIVERS\wsimd.sys [2008-01-13 54432]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2007-12-25 13352]
S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" [2008-07-25 191656]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [2007-09-02 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [2008-04-08 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [2008-04-08 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [2008-04-08 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [2008-04-08 98568]
S3 wlanndi5;wlanndi5 NDIS Protocol Driver;\??\c:\windows\system32\wlanndi5.SYS [2004-04-21 16384]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2bf41070-b2b1-21d1-b5c1-0305f4055515}]
c:\windows\svcr.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-18 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-{0228e555-4f9c-4e35-a3ec-b109a192b4c2} - c:\program files\Google\Gmail Notifier\gnotify.exe
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
Notify-WgaLogon - (no file)
SafeBoot-sglfb.sys
SafeBoot-tga.sys
SafeBoot-wd.sys
SafeBoot-sacsvr
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = localhost
mSearchAssistant = hxxp://www.google.com/ie
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
c:\windows\Downloaded Program Files\Rawflow.ocx - O16 -: {029FDBA6-3547-11D7-AA4C-0050BF051A00}
hxxp://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.camfrog.com/search.php?q=
FF - prefs.js: browser.startup.homepage - www.google.be
FF - prefs.js: keyword.URL - hxxp://search.camfrog.com/search.php?q=
FF - plugin: c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\359aubmg.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF - plugin: c:\palm\PACKAG~1\NPInstal.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npicdclient.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npLivingActor.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMCult3DP.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
FF - plugin: c:\program files\Yahoo!\Common\npyaxmpb.dll
FF - plugin: c:\program files\Yahoo!\Shared\npYState.dll
FF - plugin: c:\windows\System32\Rawflow\npicdclient.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
.
------- Associations de fichier -------
.
JSEFile=NOTEPAD.EXE %1
regfile=NOTEPAD.EXE %1
VBEFile=NOTEPAD.EXE %1
VBSFile=NOTEPAD.EXE %1
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 22:31:03
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\PSSdk23]
"ImagePath"="\??\c:\windows\System32\Drivers\PsSdk23.drv"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
c:\windows\system32\oodag.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\snmp.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2008-12-18 22:37:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-18 21:37:26
Avant-CF: 52.161.851.392 octets libres
Après-CF: 52,110,942,208 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
245 --- E O F --- 2008-12-17 21:32:43
Je me permet d'intervenir dans ce forum pour y apporter mon expérience.
Infecté par Winupgro (et oui moi aussi je fait des trucs pas joli joli avec mon PC !... qui n'a jamais téléchargé un crack ?), j'ai comme la plupart eu mille maux pour m'en débarrasser et remettre sur pied mon système. Les méthodes proposées et expliquées sur ce forum et sur d'autres n'ont pas suffit en ce qui me concerne.
Le plus efficace restant quand même l'utilisation de Malwarebytes' Anti-Malware que je ne connaissait pas mais qui a été le plus efficace, sans malgré tout arriver à une solution complète. Je vous livre donc deux éléments majeurs qui m'ont sortie d'affaire :
Il faut bien veiller à redémarrer sous le compte administrateur (ou autre compte que celui infecté avec les droits administrateurs) pour exécuter les manipulations tels que désinstallation de l'antivirus (rendu inefficace) et réinstallation. En effet, c'est majoritairement le compte utilisateur avec lequel le virus à été installé qui est le plus corrompue (base de registre).
J'ai d'autre part trouvé un lien extrêmement utile pour réparer le mode sans échec (réparation effectué pour ma part après nettoyage du système). un grand BRAVO à l'auteur de ce post :
http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html
J'ai grâce à lui fini de nettoyer mon poste en rétablissant le mode sans échec. Attention : même si tout à bien fonctionner pour moi, n'oubliez pas de faire une sauvegarde de votre registre (REGEDIT : fichier/exporter) avant fusion du fichier.
Espérant que ces lignes aideront un maximum de personnes.
Cordialement
Infecté par Winupgro (et oui moi aussi je fait des trucs pas joli joli avec mon PC !... qui n'a jamais téléchargé un crack ?), j'ai comme la plupart eu mille maux pour m'en débarrasser et remettre sur pied mon système. Les méthodes proposées et expliquées sur ce forum et sur d'autres n'ont pas suffit en ce qui me concerne.
Le plus efficace restant quand même l'utilisation de Malwarebytes' Anti-Malware que je ne connaissait pas mais qui a été le plus efficace, sans malgré tout arriver à une solution complète. Je vous livre donc deux éléments majeurs qui m'ont sortie d'affaire :
Il faut bien veiller à redémarrer sous le compte administrateur (ou autre compte que celui infecté avec les droits administrateurs) pour exécuter les manipulations tels que désinstallation de l'antivirus (rendu inefficace) et réinstallation. En effet, c'est majoritairement le compte utilisateur avec lequel le virus à été installé qui est le plus corrompue (base de registre).
J'ai d'autre part trouvé un lien extrêmement utile pour réparer le mode sans échec (réparation effectué pour ma part après nettoyage du système). un grand BRAVO à l'auteur de ce post :
http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html
J'ai grâce à lui fini de nettoyer mon poste en rétablissant le mode sans échec. Attention : même si tout à bien fonctionner pour moi, n'oubliez pas de faire une sauvegarde de votre registre (REGEDIT : fichier/exporter) avant fusion du fichier.
Espérant que ces lignes aideront un maximum de personnes.
Cordialement
