Hacktool.rootkit [Résolu]

fabnok 36Messages postés 16 janvier 2009Date d'inscription - Dernière réponse le 18 janv. 2009 à 20:18

Bonjour,
Bonjour mon pc est infecter par ce virus "hacktool.rootkit" je ne sais pas comment m'en débarasser
aurais besoin d'aide svp
j'ai vu sur le forum qu'il fallais utiliser USBFIX je joint le rapport de celui ci ,car après je voit pas que faire :-)
j'ai fait tourner norton il trouve 5 fois ce virus mais rêgle pas le problème
A l'aide svp
d'avance merci
-------------- UsbFix V2.414.3 ---------------
* User : moi et moi
* Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 8:29:43 le ven. 16/01/2009
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
--------------- [ Informations lecteurs ] ----------------
C: - Fixed Drive
--------------- [ Lecteur C ] ----------------
C: - Fixed Drive
+- Listing des fichiers présents :
[22/11/2007 10:14][--a------] C:\AUTOEXEC.BAT
[04/08/2004 13:00][-rahs----] C:\NTDETECT.COM
[10/12/2008 17:09][-rahs----] C:\boot.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewalarmportnumber.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewbinportnumber.ini
[12/12/2008 14:35][--a------] C:\test.txt
[12/12/2008 14:35][--a------] C:\UsbFix.txt
[22/11/2007 10:14][--a------] C:\CONFIG.SYS
[22/11/2007 10:14][--a------] C:\hiberfil.sys
[22/11/2007 10:14][--a------] C:\IO.SYS
[22/11/2007 10:14][--a------] C:\MSDOS.SYS
[22/11/2007 10:14][--a------] C:\pagefile.sys
--------------- [ Registre / Startup ] ----------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
SoundMAX=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
--------------- [ Registre / Mountpoint2 ] ----------------
-> Recherche négative.
--------------- [ Nettoyage des disques ] ----------------
--------------- [ Resumé ] ----------------
-> /!\ Le resultat doit etre interprété par un spécialiste /!\
[22/11/2007 10:14][--a------] C:\AUTOEXEC.BAT
[04/08/2004 13:00][-rahs----] C:\NTDETECT.COM
[10/12/2008 17:09][-rahs----] C:\boot.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewalarmportnumber.ini
[10/12/2008 17:09][-rahs----] C:\lmtiviewbinportnumber.ini
--------------- [ Vaccination ] ----------------
C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
--------------- ! Fin du rapport ! ----------------

Hacktool.rootkit »

Suggestions

Hacktool.rootkit
Hacktool.Rootkit (Résolu) » Forum
Infecté par hacktool.rootkit (Résolu) » Forum
Trojan.lodeight.c et hacktool.rootkit (Résolu) » Forum
Suppimer le Hacktool.rootkit (Résolu) » Forum
XP D VIRUS hacktool.rootkit [WINDOWS/syst32] (Résolu) » Forum
Virus hacktool.rootkit (Résolu) » Forum
[VIRUS] Infecté par Hacktool.rootkit (Résolu) » Forum
Virus Hacktool Rootkit (Résolu) » Forum
Hacktool rootkit detecté par antivirus ?? (Résolu) » Forum

Plus

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 11:02

Bonjour,

Télécharge FindyKill de ( Chiquitine29 )
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Important : Installe le sur le bureau

Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils )

--> Lance l' installation avec les paramètres par defaut
--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisis l'option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 11:10

Verni29,
merci pour l'aide ,voici le rapport de findykill

----------------- FindyKill V4.712 ------------------

* User : moi et moi
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 14/01/09 par Chiquitine29
* Recherche effectuée à 11:06:16 le ven. 16/01/2009
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\QuickTime\qttask.exe
C:\HW LMT\tray\bin\ilmt_tray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\HW LMT\server\lmtserver\bin\lmt_server.exe
C:\WINDOWS\system32\ctfmon.exe
C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe

--------------- [ Processus infectieux stoppés ] ----------------

"C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (2432)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\f_devits\Application Data

Found ! [16/01/2009 08:32] - "C:\Documents and Settings\f_devits\Application Data\drivers"
Found ! [16/01/2009 08:32] - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
Found ! [15/09/2006 05:07] - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
Found ! [16/01/2009 09:42] - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"

»»»» Presence des fichiers dans C:\DOCUME~1\f_devits\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
SoundMAX=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\patch]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\patch
Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
/!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Mode sans echec non fonctionnel !!

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

Bien à vous

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 11:18

1) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l'option 2 (Suppression)

/!\ Le pc va redémarrer, laisse travailler l'outil jusqu'à l apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

Ensuite poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

2) Télécharge et installe HijackThis .
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

Choisir « Download Hijackthis Installer »
Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer ( si sous Vista --> Click droit et executer en tant qu’administrateur )

Choisir l'option Do a system scan and save a logfile.
Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 11:58

Verni29

Voici les rapport :

----------------- FindyKill V4.712 ------------------

* User : moi et moi
* executed from : C:\Program Files\FindyKill
* Update on 14/01/09 par Chiquitine29
* Start at 11:39:40 the ven. 16/01/2009
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((( *** deleting *** ))))))))))))))))))

--------------- [ Active Processes ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Infected files / folders ] ----------------

»»»» Supression files in C:

»»»» Supression files in C:\WINDOWS

»»»» Supression files in C:\WINDOWS\Prefetch

Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

»»»» Supression files in C:\WINDOWS\system32

»»»» Supression files in C:\WINDOWS\system32\drivers

»»»» Supression files in C:\Documents and Settings\f_devits\Application Data

Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers"

»»»» Supression files in C:\DOCUME~1\f_devits\LOCALS~1\Temp

»»»» Supression files in C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[1].jpg

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\patch
Deleted ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro

--------------- [ States / Restarting of services ] ----------------

+- Safe boot mode restored !

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Fixed Drive

E: - Removable Drive

+- deleting files :

Not deleted !! - C:\autorun.inf

--------------- [ Registry / Mountpoint2 ] ----------------

-> Not found !

--------------- [ Searching Other Infections ] ----------------

Références de comparaison Bagle MD5 :

d8a9e541edae327d4fd34bcd80d34eac C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

Suspect ! - 1b1a6af3581681d8b9cb689c532922ca C:\allu\Crack\AVSVideoConverter.exe
Suspect ! - 5950bace7502e0cf14f8236fdbb039c7 C:\Program Files\AVS4YOU\AVSSoftwareNavigator\AVS4YOUSoftwareNavigator.exe
Suspect ! - 4ce59db357385381c20ab44465e5a3ca C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\Program Files\AVS4YOU\Registration.exe
Suspect ! - 96011d5a12161242d8c4eeba20e1fe0b C:\Program Files\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe
Suspect ! - 5e533484167ecc8a976e7ca93ee57caf C:\Program Files\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe
Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

--------------- [ Searching Cracks / Keygen ] ----------------

C:\Documents and Settings\f_devits\Recent\Avs Videos Converter V 5 4 Cracks Serial (+ Full Tools5.5 Complet.mp).lnk
C:\Documents and Settings\f_devits\Recent\AVS.Video.Converter.v6.2.3.314.Incl.Crack-SND.rar.lnk

---------------- ! End of report ! ------------------
et celui ci
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:29, on 16/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LmtSysMonitor] "C:\HW LMT\tray\bin\ilmt_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = flc2000.com
O17 - HKLM\Software\..\Telephony: DomainName = flc2000.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = flc2000.com
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 12:23

Il y avait une infection bagle sur ton PC.
TU l'as attrapé en téléchargeant un crack !
Ce n'est pas sans risque que de télécharger ce genre de choses.

1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

Tu choisis l'option " Fixchecked" en bas de la page.

2) Connais-tu ce site, flc2000.com ? Il est dans la liste des DNS

3) Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
Clique sur lancer l’examen.

A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

Le scan dure en moyenne 50 mn.

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 12:27

OUI verni29 FLC2000.com c'est le serveur du boulot

Oui j'ai charger un crack ....sorry

OK je fais ce demander et te répond

A+ bat

fabnok - 16 janv. 2009 à 14:03

verni29
voici le rapport
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1658
Windows 5.1.2600 Service Pack 3

16/01/2009 13:50:29
mbam-log-2009-01-16 (13-50-29).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 138981
Temps écoulé: 1 hour(s), 10 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP59\A0015356.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP59\A0015365.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP59\A0015373.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015480.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015502.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015486.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB19BD39-35AC-40B6-8BF9-05CC819E716F}\RP60\A0015492.sys (Worm.Bagel) -> Quarantined and deleted successfully.
après le scan au môment d'ouvrir internet explorer j'ai remarquer un drole de programme je n'ai pas eu le temp de voir quel non il porte

BàT

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 14:14

Une autre question : Je vois que Norton Symantec est présent sur le PC.
Il fonctionne encore ? Je ne le vois pas comme actif ( en protection sur le PC ) ?
Le virus Bagle fait sauter toutes les protections ( antivirus, parefeu ) et les rend inactives.
Il faut bien souvent les réinstaller.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

On va installer la console de récupération pour pouvoir utiliser ComBoFix.
Choisis le lien suivant ta version de XP ( familiale ou professionnelle ) :

Windows XP Édition familiale
http://www.microsoft.com/...
Windows XP Professionnel
http://www.microsoft.com/...

déconnecte toi du net.
Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

Télécharges la console sur ton bureau ( Important ).

Glisse/Dépose ce fichier sur l'icone de ComBoFix.
Regarde le lien suivant si tu ne sais pas ce qu'est un Glisser/Déposer
http://img.bleepingcomputer.com/combofix/usage/rc.gif

Ceci va lancer combofix et installer la console de récupération.
Accepte le contrat de licence.
Tu devrais avoir un message de confirmation de la bonne installation de la console.
Clique sur Oui pour continuer le scan.

Poste le rapport que tu auras obtenu.

Si tu ne le trouves pas, il se trouve en C:\ComboFix.txt

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 14:31

Verni29

pour la console c'est celle destinée pour le SP2 et je suis en SP3
j'ai recherché celle pour le SP3 mais je ne la voit pas

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 14:33

Il n'y a pas de console pour le SP3.
Le SP3 n'est qu'un récapitulatif de tous les correctifs depuis le SP2 ( et une ou deux fonctionnalités supplémentaires comme le WPA ).
Il faut utiliser la console du SP2.

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 14:42

ok Verni29
je ne trouve pas comment deconnecter "symantec antivirus"

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 14:46

Regarde dans la barre de notification ( ou barre des taches ) .
Click droit, il me semble et arrête la protection active.

Sinon, tu le fais en mode sans échec.

Ajouter un commentaire

fabnok - 16 janv. 2009 à 15:17

OK verni29 voici le rapport
ComboFix 09-01-15.01 - f_devits 2009-01-16 14:56:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.520 [GMT 1:00]
Lancé depuis: c:\documents and settings\f_devits\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\f_devits\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\f_devits\Application Data\drivers\downld
c:\documents and settings\f_devits\Application Data\drivers\downld\234125.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\243828.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\243875.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\269156.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\269718.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\269968.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\279484.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\281781.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\526875.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\527406.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\527453.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\539109.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\540187.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\540812.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\541453.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\542140.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\542578.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\559125.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\559593.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\559843.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\565046.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\593109.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\593359.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\593406.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\7963515.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\7963734.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\7985046.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\7985531.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\7985812.exe
c:\documents and settings\f_devits\Application Data\drivers\downld\7995609.exe
c:\documents and settings\f_devits\Application Data\drivers\srosa2.sys
c:\documents and settings\f_devits\Application Data\drivers\winupgro.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
C:\test.txt
c:\windows\system32\cvirt.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_srosa

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-16 au 2009-01-16 ))))))))))))))))))))))))))))))))))))
.

2009-01-16 12:33 . 2009-01-16 12:33 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-16 12:33 . 2009-01-16 12:33 <DIR> d-------- c:\documents and settings\f_devits\Application Data\Malwarebytes
2009-01-16 12:33 . 2009-01-16 12:33 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-16 12:33 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-16 12:33 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-16 11:52 . 2009-01-16 11:52 <DIR> d-------- c:\program files\Trend Micro
2009-01-16 11:50 . 2009-01-16 14:56 <DIR> d--h----- c:\documents and settings\f_devits\Application Data\drivers
2009-01-16 11:05 . 2009-01-16 11:47 <DIR> d-------- c:\program files\FindyKill
2009-01-16 08:24 . 2009-01-16 08:29 <DIR> d-------- c:\program files\UsbFix
2009-01-11 16:51 . 2009-01-11 16:51 <DIR> d-------- c:\documents and settings\f_devits\Application Data\Nokia
2009-01-11 16:51 . 2009-01-11 16:51 <DIR> d-------- c:\documents and settings\f_devits\Application Data\Datalayer
2009-01-07 15:35 . 2009-01-07 15:36 <DIR> d-a------ C:\Devis
2008-12-23 15:22 . 2008-12-23 15:22 <DIR> d-------- c:\windows\Sun
2008-12-23 15:21 . 2008-12-23 15:21 <DIR> d-------- c:\program files\Java
2008-12-23 15:21 . 2008-12-23 15:21 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-23 15:21 . 2008-12-23 15:21 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-22 18:43 . 2008-12-22 18:43 <DIR> d-------- c:\documents and settings\f_devits\Application Data\AVS4YOU
2008-12-22 18:43 . 2008-12-22 18:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\AVS4YOU
2008-12-22 18:42 . 2008-12-22 19:40 <DIR> d-------- c:\program files\Common Files\AVSMedia
2008-12-22 18:41 . 2008-12-22 19:40 <DIR> d-------- c:\program files\AVS4YOU
2008-12-22 18:41 . 2007-02-27 18:36 1,700,352 --a------ c:\windows\system32\GdiPlus.dll
2008-12-22 18:41 . 2007-02-27 18:36 974,848 --a------ c:\windows\system32\mfc70.dll
2008-12-22 18:41 . 2007-02-27 18:36 487,424 --a------ c:\windows\system32\msvcp70.dll
2008-12-22 11:05 . 2009-01-05 13:11 9 --a------ C:\lmtiviewbinportnumber.ini
2008-12-22 11:05 . 2009-01-05 13:11 9 --a------ C:\lmtiviewalarmportnumber.ini
2008-12-19 20:33 . 2009-01-15 08:38 <DIR> d-------- C:\music
2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\system32\scripting
2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\system32\en
2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\system32\bits
2008-12-19 18:18 . 2008-12-19 18:18 <DIR> d-------- c:\windows\l2schemas
2008-12-19 18:16 . 2008-12-19 18:16 <DIR> d-------- c:\windows\ServicePackFiles
2008-12-19 14:54 . 2008-12-19 14:54 <DIR> d-------- c:\program files\MSXML 4.0
2008-12-19 06:07 . 2008-04-14 01:12 4,274,816 --------- c:\windows\system32\nv4_disp.dll
2008-12-19 06:06 . 2008-04-14 01:11 1,888,992 --------- c:\windows\system32\ati3duag.dll
2008-12-18 18:47 . 2009-01-11 16:51 <DIR> d-------- c:\documents and settings\f_devits\Phone Browser
2008-12-18 18:47 . 2008-12-18 18:47 <DIR> d-------- c:\documents and settings\f_devits\Application Data\PC Suite
2008-12-18 18:46 . 2008-12-18 18:47 <DIR> d-------- c:\program files\Nokia
2008-12-18 18:46 . 2008-12-18 18:46 <DIR> d-------- c:\program files\Common Files\PCSuite
2008-12-18 18:46 . 2008-12-18 18:46 <DIR> d-------- c:\program files\Common Files\Nokia

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 13:22 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-16 13:22 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-15 16:30 --------- d-----w c:\program files\eMule
2009-01-14 15:54 --------- d-----w c:\program files\Symantec AntiVirus
2009-01-04 20:11 --------- d-----w c:\program files\Google
2008-12-15 20:35 --------- d-----w c:\documents and settings\All Users\Application Data\WinZip
2008-12-12 20:41 --------- d-----w c:\documents and settings\f_devits\Application Data\Media Player Classic
2008-12-12 19:13 --------- d-----w c:\program files\Ahead
2008-12-12 19:10 --------- d-----w c:\program files\Common Files\Ahead
2008-12-12 19:10 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
2008-12-12 18:20 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-12 18:17 --------- d-----w c:\program files\SeaMAC V4
2008-12-12 18:17 --------- d-----w c:\program files\Nortel
2008-12-12 18:16 --------- d-----w c:\program files\Nortel Networks
2008-12-12 18:14 --------- d-----w c:\program files\K-Lite Codec Pack
2008-12-12 18:12 --------- d-----w c:\program files\Windows Media Connect 2
2008-12-12 13:36 --------- d-----w c:\program files\Common Files\Adobe
2008-12-12 13:34 --------- d-----w c:\program files\QuickTime
2008-12-12 13:34 --------- d-----w c:\program files\PDFCreator
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 17:00 --------- d-----w c:\program files\Microsoft Works
2008-12-10 16:55 --------- d-----w c:\program files\Microsoft CAPICOM 2.1.0.2
2008-12-10 16:21 --------- d-----w c:\program files\Symantec
2008-12-10 16:21 --------- d-----w c:\program files\Common Files\Symantec Shared
2008-12-10 16:21 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2008-12-10 16:17 --------- d-----w c:\program files\HPQ
2008-12-10 16:17 --------- d-----w c:\program files\Hewlett-Packard
2008-12-10 16:17 --------- d-----w c:\documents and settings\Administrator\Application Data\hpqLog
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-04-20 847872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-03 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-03 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-03 138008]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-05-02 163840]
"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.exe" [2007-01-24 124928]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-09-27 125168]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"LmtSysMonitor"="c:\hw lmt\tray\bin\ilmt_tray.exe" [2007-10-08 53248]
"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-03-22 167936]
"DataLayer"="c:\program files\Common Files\PCSuite\DataLayer\DataLayer.exe" [2005-03-31 1106944]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-23 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-09-10 525664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-183583537-3401663046-353351459-3168\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\flcsrv02\NETLOGON\login.bat

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\HW LMT\\server\\lmtserver\\bin\\lmt_server.exe"=
"c:\\HW LMT\\uninstall\\jre\\jre_win\\bin\\javaw.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v17a301\\tidle32.exe"=
"c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v17a301\\til_coam98.exe"=
"c:\\HW LMT\\client\\lmt_client.exe"=
"c:\\HW LMT\\adaptor\\serveradaptor\\NodeB\\lib\\SFTPServer.exe"=
"c:\\HW LMT\\uninstall\\jre\\jre_win\\bin\\java.exe"=
"c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v16a304\\tidle32.exe"=
"c:\\Program Files\\Nortel Networks\\BTS Tools\\Til coam\\v16a304\\til_coam98.exe"=

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-12-10 99376]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-01-23 36608]
S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-07-17 35072]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2006-09-27 116464]
.
.
------- Examen supplémentaire -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 15:02:42
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\scardsvr.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\igfxsrvc.exe
c:\hw lmt\server\lmtserver\bin\lmt_server.exe
c:\hw lmt\uninstall\jre\jre_win\bin\javaw.exe
c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
c:\progra~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
.
**************************************************************************
.
Heure de fin: 2009-01-16 15:10:26 - La machine a redémarré [f_devits]
ComboFix-quarantined-files.txt 2009-01-16 14:10:23

Avant-CF: 58,820,272,128 bytes free
Après-CF: 58,576,277,504 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

220 --- E O F --- 2009-01-14 08:53:05
j'ai encore eu a l'ouverture le programme "NTSB investigator flight" je ne sais pas d'ou ça vient

bàt

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 16:19

Pour Norton, fait-il office de parefeu ?

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur " RSIT.exe " pour le lancer .
dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
cliques ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés.

Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

A+

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 16:55

verni29 pour norton je n'en est aucune idee si fait ou pas office de partfeu

rsit ça met longtemp ?? je le lance je choisi 2 month puis continue,il a l'air de ce lancer puis plus rien ,normal???

bàt A+

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 16:59

3 à 4 mn maxi.
Il doit être planté. Arrête le via le gestionnaire de taches.
Supprime l'exécutable sur ton bureau et le dossier C:\RSIT.

Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.

* Désactive tout script bloquant, tel qu'un antivirus, un logiciel comme ad-block, noscript etc.
* Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus.
* Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
* Clique Oui à la prochaine invite Optional Scan.
* Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt, garde l'autre sous la main si jamais je te le demande.

Copie/colle le rapport sur le forum.

A+

Ajouter un commentaire

fabnok - 16 janv. 2009 à 17:45

verni29

je ne trouve pas DDS de sUBs peux tu m'aider svp

merci

fabnok - 16 janv. 2009 à 17:51

ok verni je l'ai trouver

voici

DDS (Ver_09-01-07.01) - NTFSx86
Run by f_devits at 17:47:33.14 on 2009-01-16
Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_11
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.486 [GMT 1:00]

AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe -k eapsvcs
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\HW LMT\tray\bin\ilmt_tray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\HW LMT\server\lmtserver\bin\lmt_server.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\f_devits\Desktop\dds.scr

============== Pseudo HJT Report ===============

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: &Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [PcSync] c:\program files\nokia\nokia pc suite 6\PcSync2.exe /NoDialog
uRun: [drvsyskit] c:\documents and settings\f_devits\application data\drivers\winupgro.exe
mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
mRun: [AccelerometerSysTrayApplet] c:\windows\system32\AccelerometerSt.exe
mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"
mRun: [vptray] c:\progra~1\symant~1\VPTray.exe
mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe
mRun: [LmtSysMonitor] "c:\hw lmt\tray\bin\ilmt_tray.exe"
mRun: [PCSuiteTrayApplication] c:\program files\nokia\nokia pc suite 6\LaunchApplication.exe -onlytray
mRun: [DataLayer] c:\program files\common files\pcsuite\datalayer\DataLayer.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\blueto~1.lnk - c:\program files\widcomm\bluetooth software\BTTray.exe
StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\winzip~1.lnk - c:\program files\winzip\WZQKPICK.EXE
mPolicies-system: EnableLUA = 0 (0x0)
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
Notify: igfxcui - igfxdev.dll
Notify: NavLogon - c:\windows\system32\NavLogon.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

============= SERVICES / DRIVERS ===============

R1 SAVRT;SAVRT;c:\program files\symantec antivirus\savrt.sys [2006-9-6 337592]
R1 SAVRTPEL;SAVRTPEL;c:\program files\symantec antivirus\Savrtpel.sys [2006-9-6 54968]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2008-12-10 99376]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-1-23 36608]
R3 NAVENG;NAVENG;c:\progra~1\common~1\symant~1\virusd~1\20090113.024\naveng.sys [2009-1-14 89104]
R3 NAVEX15;NAVEX15;c:\progra~1\common~1\symant~1\virusd~1\20090113.024\navex15.sys [2009-1-14 876112]
S1 srosa;srosa;\??\c:\documents and settings\f_devits\application data\drivers\srosa.sys --> c:\documents and settings\f_devits\application data\drivers\srosa.sys [?]
S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-7-17 35072]
S3 SavRoam;SAVRoam;c:\program files\symantec antivirus\SavRoam.exe [2006-9-27 116464]
S4 ccEvtMgr;Symantec Event Manager;c:\program files\common files\symantec shared\ccEvtMgr.exe [2006-7-19 192160]
S4 ccSetMgr;Symantec Settings Manager;c:\program files\common files\symantec shared\ccSetMgr.exe [2006-7-19 169632]
S4 Symantec AntiVirus;Symantec AntiVirus;c:\program files\symantec antivirus\Rtvscan.exe [2006-9-27 1813232]

=============== Created Last 30 ================

2009-01-16 14:53 <DIR> a-dshr-- C:\cmdcons
2009-01-16 14:52 161,792 a------- c:\windows\SWREG.exe
2009-01-16 14:52 98,816 a------- c:\windows\sed.exe
2009-01-16 12:33 <DIR> --d----- c:\docume~1\f_devits\applic~1\Malwarebytes
2009-01-16 12:33 15,504 a------- c:\windows\system32\drivers\mbam.sys
2009-01-16 12:33 38,496 a------- c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-16 12:33 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-01-16 12:33 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware
2009-01-16 11:52 <DIR> --d----- c:\program files\Trend Micro
2009-01-16 11:50 <DIR> --d-h--- c:\docume~1\f_devits\applic~1\drivers
2009-01-16 11:05 <DIR> --d----- c:\program files\FindyKill
2009-01-16 08:30 <DIR> --d----- C:\autorun.inf
2009-01-16 08:24 <DIR> --d----- c:\program files\UsbFix
2009-01-07 15:35 <DIR> a-d----- C:\Devis
2008-12-23 15:21 410,984 a------- c:\windows\system32\deploytk.dll
2008-12-23 15:21 73,728 a------- c:\windows\system32\javacpl.cpl
2008-12-22 18:43 <DIR> --d----- c:\docume~1\f_devits\applic~1\AVS4YOU
2008-12-22 18:43 <DIR> --d----- c:\docume~1\alluse~1\applic~1\AVS4YOU
2008-12-22 18:42 <DIR> --d----- c:\program files\common files\AVSMedia
2008-12-22 18:41 1,700,352 a------- c:\windows\system32\GdiPlus.dll
2008-12-22 18:41 974,848 a------- c:\windows\system32\mfc70.dll
2008-12-22 18:41 487,424 a------- c:\windows\system32\msvcp70.dll
2008-12-22 18:41 <DIR> --d----- c:\program files\AVS4YOU
2008-12-22 11:05 9 a------- C:\lmtiviewalarmportnumber.ini
2008-12-22 11:05 9 a------- C:\lmtiviewbinportnumber.ini
2008-12-19 20:33 <DIR> --d----- C:\music
2008-12-19 18:18 <DIR> --d----- c:\windows\system32\scripting
2008-12-19 18:18 <DIR> --d----- c:\windows\system32\en
2008-12-19 18:18 <DIR> --d----- c:\windows\l2schemas
2008-12-19 18:18 <DIR> --d----- c:\windows\system32\bits
2008-12-19 18:16 <DIR> --d----- c:\windows\ServicePackFiles
2008-12-19 14:54 <DIR> --d----- c:\program files\MSXML 4.0
2008-12-19 06:07 53,248 -------- c:\windows\system32\tsgqec.dll
2008-12-19 06:06 37,376 -------- c:\windows\system32\l2gpstore.dll
2008-12-18 18:47 <DIR> --d----- c:\documents and settings\f_devits\Phone Browser
2008-12-18 18:46 <DIR> --d----- c:\program files\Nokia
2008-12-18 18:46 <DIR> --d----- c:\program files\common files\PCSuite
2008-12-18 18:46 <DIR> --d----- c:\program files\common files\Nokia

==================== Find3M ====================

2008-12-19 18:21 86,327 a------- c:\windows\pchealth\helpctr\offlinecache\index.dat
2008-12-11 11:57 333,952 a------- c:\windows\system32\drivers\srv.sys
2008-10-23 13:36 286,720 a------- c:\windows\system32\gdi32.dll

============= FINISH: 17:47:50.98 ===============
bàt

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 janv. 2009 à 21:03

J'ai du m'absenter. :-)

Le message que tu reçois est du à ton infection bagle.

1) Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
http://www.virustotal.com/fr/
Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.

c:\windows\system32\drivers\srv.sys

Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

2) Vérifie ceci :

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

begin copying:

:files
c:\documents and settings\f_devits\application data\drivers\winupgro.exe

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

3) Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

Lance l'installation avec les paramètres par défaut.

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
* Double-clique sur le raccourci UsbFix sur ton Bureau.
* Choisis l'option 1.

Le PC va redémarrer.
Après redémarrage, poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 08:08

Bonjour verni29
voici le rapport de virustotal
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.17 -
AhnLab-V3 2009.1.15.0 2009.01.16 -
AntiVir 7.9.0.55 2009.01.16 -
Authentium 5.1.0.4 2009.01.16 -
Avast 4.8.1281.0 2009.01.16 -
AVG 8.0.0.229 2009.01.16 -
BitDefender 7.2 2009.01.17 -
CAT-QuickHeal 10.00 2009.01.17 -
ClamAV 0.94.1 2009.01.17 -
Comodo 933 2009.01.16 -
DrWeb 4.44.0.09170 2009.01.17 -
eSafe 7.0.17.0 2009.01.15 -
eTrust-Vet 31.6.6312 2009.01.17 -
F-Prot 4.4.4.56 2009.01.16 -
F-Secure 8.0.14470.0 2009.01.17 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.17 -
Ikarus T3.1.1.45.0 2009.01.17 -
K7AntiVirus 7.10.593 2009.01.16 -
Kaspersky 7.0.0.125 2009.01.17 -
McAfee 5497 2009.01.16 -
McAfee+Artemis 5497 2009.01.16 -
Microsoft None 2009.01.17 -
NOD32 3772 2009.01.16 -
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.16 -
PCTools 4.4.2.0 2009.01.16 -
Prevx1 V2 2009.01.17 -
Rising 21.12.51.00 2009.01.17 -
SecureWeb-Gateway 6.7.6 2009.01.16 -
Sophos 4.37.0 2009.01.17 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.17 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.16 -
ViRobot 2009.1.16.1562 2009.01.16 -
VirusBuster 4.5.11.0 2009.01.16 -
Information additionnelle
File size: 333952 bytes
MD5...: 3bb03f2ba89d2be417206c373d2af17c
SHA1..: dca2004e5a5c3a555c7c474e15319df95cad5a67
SHA256: 2efd14332e133e71b09a0e00bf40cd9bc6850e976f05313b94b7e76780cddf3d
SHA512: f7d8afd3c98c9746403f90624e5629e4010a1e5256f4ef9369d2fa6ceaff0be3
cbd005447bec3570af53169e5dedc64c6a8c7c7977b8b675b8ddba66dc1d426d

ssdeep: 6144:IXjqecQPWtHaos5hQCiCHtUtMNAb4bG8z5CuJRylzzfu42MQpGU:IXpI6d5
5NUyAb42pFUpG

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5b105
timedatestamp.....: 0x4940f203 (Thu Dec 11 10:57:07 2008)
machinetype.......: 0x14c (I386)

( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0xd680 0xd680 6.63 407e26d68f44c71be08ffa000bb5292e
.rdata 0xda00 0x157c 0x1580 5.12 b17e1f6db3f94a57f1f4e54f8030176a
.data 0xef80 0x1fe8 0x2000 1.90 290252dc7b57e42144db3da8faa7d7d3
PAGE 0x10f80 0x37ced 0x37d00 6.72 fb99e297f8666f6802c4c01c9cb2ca13
PAGE8FIL 0x48c80 0x206e 0x2080 6.51 36e4ca7a7bc34a0ec77c50bc6beb60d1
PAGESMBC 0x4ad00 0x183 0x200 4.92 41e57cfdc1fe0c23081efaebdae18c65
PAGESMBD 0x4af00 0x1cc 0x200 0.42 0a782b525bc792f014a5add935d27659
INIT 0x4b100 0x1f08 0x1f80 5.90 f72c020896c981a8fbbab70966b323f8
.rsrc 0x4d080 0x5e8 0x600 4.93 dace1cea8631ff3c99229ab5e5806f1b
.reloc 0x4d680 0x41ec 0x4200 6.82 a0eb4a0d670cb49b4dde8c9e4cfe2445

( 5 imports )
> HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock, KfLowerIrql, KfRaiseIrql, KeGetCurrentIrql
> ksecdd.sys: QueryContextAttributesW, FreeContextBuffer, MapSecurityError, ImpersonateSecurityContext, DeleteSecurityContext, AcquireCredentialsHandleW, AddCredentialsW, AcceptSecurityContext, InitSecurityInterfaceW, KSecValidateBuffer
> ntoskrnl.exe: ExReleaseResourceLite, ExAcquireResourceExclusiveLite, ExfInterlockedRemoveHeadList, RtlCompareUnicodeString, RtlUpcaseUnicodeChar, KeTickCount, RtlEqualUnicodeString, ExAcquireResourceSharedLite, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, RtlUnicodeStringToOemString, RtlxUnicodeStringToOemSize, RtlOemStringToUnicodeString, RtlxOemStringToUnicodeSize, NlsMbOemCodePageTag, KeSetEvent, InterlockedPushEntrySList, IoFreeIrp, IoCheckDesiredAccess, RtlCopyUnicodeString, KeQuerySystemTime, KeUnstackDetachProcess, KeStackAttachProcess, IoGetCurrentProcess, ZwClose, ZwQueryValueKey, ZwOpenKey, _wcsnicmp, ZwOpenFile, NtQueryInformationFile, RtlLengthSecurityDescriptor, NtQueryVolumeInformationFile, KeInitializeTimer, KeInitializeEvent, KeWaitForSingleObject, KeReadStateEvent, KeCancelTimer, KeSetTimer, KeClearEvent, KeSetTargetProcessorDpc, KeInitializeDpc, wcslen, MmBuildMdlForNonPagedPool, IoInitializeIrp, KeInsertQueue, NtWriteFile, NtReadFile, NtSetInformationFile, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, IoCreateFile, memmove, RtlUpperChar, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoDeleteDevice, ExQueueWorkItem, ObfReferenceObject, KeLeaveCriticalRegion, KeEnterCriticalRegion, KeInsertHeadQueue, IofCallDriver, IoCreateDevice, WmiGetClock, IoWMIWriteEvent, IofCompleteRequest, IoQueueWorkItem, IoAllocateWorkItem, KeReadStateQueue, ExAllocatePoolWithTagPriority, ProbeForRead, IoWMIRegistrationControl, KeQueryTimeIncrement, _except_handler3, _allmul, SeSinglePrivilegeCheck, SeExports, IoFreeMdl, IoBuildPartialMdl, MmUnlockPages, MmUnmapLockedPages, RtlFreeOemString, NtClose, ZwSetValueKey, _wcsicmp, PoUnregisterSystemState, MmUnlockPagableImageSection, RtlGetOwnerSecurityDescriptor, RtlGetDaclSecurityDescriptor, KeRundownQueue, KeDelayExecutionThread, PoRegisterSystemState, RtlSetOwnerSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, RtlSubAuthoritySid, ObfDereferenceObject, RtlLengthRequiredSid, RtlCreateSecurityDescriptor, KeInitializeQueue, IoFreeWorkItem, DbgBreakPoint, RtlTimeToTimeFields, ExSystemTimeToLocalTime, RtlTimeFieldsToTime, _alldiv, KeBugCheckEx, RtlTimeToSecondsSince1970, FsRtlDoesNameContainWildCards, KeGetCurrentThread, IoAllocateIrp, IoQueueThreadIrp, MmProbeAndLockPages, IoAllocateMdl, MmLockPagableDataSection, RtlEqualString, NtCreateFile, NtDeviceIoControlFile, ZwDeviceIoControlFile, ZwCreateFile, IoCheckFunctionAccess, FsRtlMdlWriteCompleteDev, FsRtlPrepareMdlWriteDev, FsRtlMdlReadCompleteDev, FsRtlMdlReadDev, IoGetBaseFileSystemDeviceObject, IoCheckEaBufferValidity, RtlPrefixUnicodeString, NtRequestWaitReplyPort, RtlNtStatusToDosErrorNoTeb, IoCancelIrp, RtlInitString, IoWriteTransferCount, IoWriteOperationCount, IoReadTransferCount, IoReadOperationCount, IoStatisticsLock, wcscpy, RtlIntegerToUnicodeString, RtlInt64ToUnicodeString, NtOpenFile, IoSetThreadHardErrorMode, wcschr, _stricmp, RtlRandom, IoFastQueryNetworkAttributes, RtlSecondsSince1970ToTime, IoCheckQuerySetFileInformation, RtlUpcaseUnicodeStringToOemString, RtlFreeAnsiString, IoCheckQuerySetVolumeInformation, NtSetVolumeInformationFile, _allshr, NtSetSecurityObject, RtlValidRelativeSecurityDescriptor, NtQuerySecurityObject, NtQueryQuotaInformationFile, NtSetQuotaInformationFile, IoGetStackLimits, MmSizeOfMdl, wcscmp, RtlInitAnsiString, FsRtlIsFatDbcsLegal, RtlIsNameLegalDOS8Dot3, NlsOemLeadByteInfo, RtlUnicodeToOemN, RtlUpcaseUnicodeToOemN, KeDetachProcess, KeAttachProcess, PsAssignImpersonationToken, SeFreePrivileges, RtlMapGenericMask, IoSetFileOrigin, KeGetRecommendedSharedDataAlignment, KeNumberProcessors, _snwprintf, toupper, RtlTimeToSecondsSince1980, RtlValidSecurityDescriptor, RtlVerifyVersionInfo, VerSetConditionMask, MmIsThisAnNtAsSystem, PsCreateSystemThread, KeSetIdealProcessorThread, NtSetInformationThread, PsTerminateSystemThread, KeRemoveQueue, RtlDestroyHeap, RtlAllocateHeap, RtlFreeHeap, RtlCreateHeap, NtConnectPort, NtCreateSection, KeInitializeSpinLock, ExInitializeResourceLite, InterlockedPopEntrySList, ExDeleteResourceLite, ExAllocatePoolWithTag, DbgPrint, ExFreePoolWithTag, ExLocalTimeToSystemTime, RtlCompareMemory, MmMapLockedPages, MmMapLockedPagesSpecifyCache, RtlAnsiStringToUnicodeString, NtAllocateVirtualMemory, NtFreeVirtualMemory, ExfInterlockedAddUlong, RtlInitUnicodeString, RtlUpcaseUnicodeString, RtlFreeUnicodeString, SeLockSubjectContext, SeQueryAuthenticationIdToken, SeUnlockSubjectContext, SeCaptureSubjectContext, SeAccessCheck, SeReleaseSubjectContext, RtlInitializeSid, WmiTraceMessage, ZwSetEvent, ZwWaitForSingleObject, KeResetEvent, KeWaitForMultipleObjects, KeInitializeSemaphore, ZwCreateEvent, ZwMapViewOfSection, ZwCreateSection, KeReleaseSemaphore, ExfInterlockedInsertTailList
> TDI.SYS: TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers, TdiOpenNetbiosAddress, TdiReturnChainedReceives, TdiCopyBufferToMdl
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )

je fait la suite et te l'envoye

christine29 dit que findykill à été mis a jour cette nuit ,ça va nous servir peux être

A+

fabnok - 17 janv. 2009 à 08:41

voici les rapport verni29
il y en a 4 pour 'OTMoveIT
1
Error: Unable to interpret <c:\documents and settings\f_devits\application data\drivers\winupgro.exe> in the current context!

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01172009_081145
2
Error: Unable to interpret <C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe> in the current context!

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01172009_081513
ce sont tout les 4 des erreurs

voici le rapport de usbfix

-------------- UsbFix V2.414.3 ---------------

* User : f_devits - FLCLXP27WW
* Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 8:30:38 le 2009-01-17
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Informations lecteurs ] ----------------

C: - Fixed Drive

+- Contenu de l'autorun : C:\autorun.inf

--------------- [ Lecteur C ] ----------------

C: - Fixed Drive

+- Listing des fichiers présents :

[2007-11-22 10:14][--a------] C:\AUTOEXEC.BAT
[2004-08-04 13:00][-rahs----] C:\NTDETECT.COM
[2009-01-16 14:53][-rahs----] C:\boot.ini
[2009-01-16 14:53][-rahs----] C:\lmtiviewalarmportnumber.ini
[2009-01-16 14:53][-rahs----] C:\lmtiviewbinportnumber.ini
[2009-01-16 08:30][d--------] C:\autorun.inf
[2009-01-16 15:10][--a------] C:\ComboFix.txt
[2009-01-16 15:10][--a------] C:\FindyKill.txt
[2009-01-16 15:10][--a------] C:\UsbFix.txt
[2007-11-22 10:14][--a------] C:\CONFIG.SYS
[2007-11-22 10:14][--a------] C:\hiberfil.sys
[2007-11-22 10:14][--a------] C:\IO.SYS
[2007-11-22 10:14][--a------] C:\MSDOS.SYS
[2007-11-22 10:14][--a------] C:\pagefile.sys

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [2009-01-17 08:31] C:\autorun.inf
Supprimé ! - [2009-01-17 08:31][d--------] C:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[2007-11-22 10:14][--a------] C:\AUTOEXEC.BAT
[2004-08-04 13:00][-rahs----] C:\NTDETECT.COM
[2009-01-16 14:53][-rahs----] C:\boot.ini
[2009-01-16 14:53][-rahs----] C:\lmtiviewalarmportnumber.ini
[2009-01-16 14:53][-rahs----] C:\lmtiviewbinportnumber.ini

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 17 janv. 2009 à 04:22

Salut ,

Findykill a été mis a jours cette nuit

bonne suite et pour suivre

Ajouter un commentaire - Site web

fabnok - 17 janv. 2009 à 08:43

merci christine29

en esperant que cela nous aide

bàt
A+
fabnok

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 09:10

1) Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/TC/ToolsCleaner2.exe
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt

Vérifie que FindyKill est bien supprimé.

2) Tu vas télécharger la dernière version de findykill et recommence la manip du message 1 .

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 09:31

verni29 voici le rapport
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\f_devits\Desktop\HijackThis.lnk: trouvé !
C:\Documents and Settings\f_devits\Desktop\ComboFix.exe: trouvé !
C:\Documents and Settings\f_devits\Desktop\HJTInstall.exe: trouvé !
C:\Documents and Settings\f_devits\Desktop\UsbFix.exe: trouvé !
C:\Documents and Settings\f_devits\Desktop\UsbFix.txt: trouvé !
C:\Documents and Settings\f_devits\Desktop\UsbFix.lnk: trouvé !
C:\Documents and Settings\f_devits\Desktop\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\f_devits\Desktop\dds.scr: trouvé !
C:\Documents and Settings\f_devits\Desktop\dds.txt: trouvé !
C:\Documents and Settings\f_devits\Desktop\CCL\SdFix.exe: trouvé !
C:\Documents and Settings\f_devits\Desktop\CCL\HijackThis.exe: trouvé !
C:\Documents and Settings\f_devits\Desktop\CCL\UsbFix.exe: trouvé !
C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix: trouvé !
C:\Documents and Settings\f_devits\Start Menu\Programs\FindyKill: trouvé !
C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\f_devits\Desktop\HijackThis.lnk: supprimé !
C:\Documents and Settings\f_devits\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\f_devits\Desktop\HJTInstall.exe: supprimé !
C:\Documents and Settings\f_devits\Desktop\CCL\SdFix.exe: supprimé !
C:\Documents and Settings\f_devits\Desktop\CCL\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\f_devits\Desktop\UsbFix.exe: supprimé !
C:\Documents and Settings\f_devits\Desktop\UsbFix.txt: supprimé !
C:\Documents and Settings\f_devits\Desktop\UsbFix.lnk: supprimé !
C:\Documents and Settings\f_devits\Desktop\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\f_devits\Desktop\dds.scr: supprimé !
C:\Documents and Settings\f_devits\Desktop\dds.txt: supprimé !
C:\Documents and Settings\f_devits\Desktop\CCL\UsbFix.exe: supprimé !
C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: supprimé !
C:\Documents and Settings\f_devits\Start Menu\Programs\UsbFix: supprimé !
C:\Documents and Settings\f_devits\Start Menu\Programs\FindyKill: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\FindyKill: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
pour ce qui est de la derniere version de Findykill je ne trouve que celle du message 1 christine29 n'a pas laisser de lien pour cette dernière !
A+

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 09:36

C'est le même qu'inidiqué dans le message 1 ( en lien dans mon message )

Ajouter un commentaire

fabnok - 17 janv. 2009 à 09:44

ok verni29 voici le rapport

----------------- FindyKill V4.713 ------------------

* User : f_devits - FLCLXP27WW
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/01/09 par Chiquitine29
* Recherche effectuée à 9:42:04 le 2009-01-17
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\HW LMT\tray\bin\ilmt_tray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
C:\HW LMT\server\lmtserver\bin\lmt_server.exe
C:\WINDOWS\system32\ctfmon.exe
C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

--------------- [ Processus infectieux stoppés ] ----------------

"C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (2596)
"C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (2804)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\f_devits\Application Data

Found ! [2009-01-17 08:34] - "C:\Documents and Settings\f_devits\Application Data\drivers"
Found ! [2009-01-17 08:34] - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
Found ! [2006-09-15 05:07] - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
Found ! [2009-01-17 08:38] - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"

»»»» Presence des fichiers dans C:\DOCUME~1\f_devits\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\ccApp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\SynTPEnh]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Mode sans echec non fonctionnel !!

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 2

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Fixed Drive

+- Contenu de l'autorun : C:\autorun.inf

+- presence des fichiers :

Found ! [2009-01-17 08:31][d--h-----] - C:\autorun.inf

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

BàT

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 09:52

Tu relances FindyKill et choisis l'option 2 cette fois-ci.

A+

Ajouter un commentaire

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 10:29

Une remarque : Il faut que tu supprimes le crack vecteur d'infection.

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 10:48

verni29
le crack vecteru est déja supprimé dès le départ (quand j'ai remarqué qu'il était infecté)
voici le rapport de findykill

----------------- FindyKill V4.713 ------------------

* User : f_devits - FLCLXP27WW
* Executed from : C:\Program Files\FindyKill
* Update on 17/01/09 by Chiquitine29
* Start at 10:25:23 the 2009-01-17
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((( *** deleting *** ))))))))))))))))))

--------------- [ Active Processes ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Infected files / folders ] ----------------

»»»» Supression files in C:

»»»» Supression files in C:\WINDOWS

»»»» Supression files in C:\WINDOWS\Prefetch

»»»» Supression files in C:\WINDOWS\system32

»»»» Supression files in C:\WINDOWS\system32\drivers

»»»» Supression files in C:\Documents and Settings\f_devits\Application Data

Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers"

»»»» Supression files in C:\DOCUME~1\f_devits\LOCALS~1\Temp

»»»» Supression files in C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[6].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[6].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[4].jpg

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_CURRENT_USER\Software\bisoft

--------------- [ States / Restarting of services ] ----------------

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Fixed Drive

+- deleting files :

Not deleted !! - C:\autorun.inf

--------------- [ Registry / Mountpoint2 ] ----------------

-> Not found !

--------------- [ Searching Other Infections ] ----------------

Suspect ! - 1b1a6af3581681d8b9cb689c532922ca C:\allu\Crack\AVSVideoConverter.exe
Suspect ! - 5950bace7502e0cf14f8236fdbb039c7 C:\Program Files\AVS4YOU\AVSSoftwareNavigator\AVS4YOUSoftwareNavigator.exe
Suspect ! - 4ce59db357385381c20ab44465e5a3ca C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\Program Files\AVS4YOU\Registration.exe
Suspect ! - 96011d5a12161242d8c4eeba20e1fe0b C:\Program Files\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe
Suspect ! - 5e533484167ecc8a976e7ca93ee57caf C:\Program Files\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe
Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Common Files\Symantec Shared\ccApp.exe
Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

--------------- [ Searching Cracks / Keygen ] ----------------

---------------- ! End of report ! ------------------
Après le scan de findykill lors de la reconnection vers internet explorer je remarque toujours ce programme que je ne connais pas "NTSB investigator flight recorder (blak box) analyser"
j'ai fait une saisie d'écran mais ne sais commen la poster
J'ai aussi remarquer que "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" était toujour présent

BàT
A+

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 11:28

POur le fichier qui revient tout le temps, c'est lié à l'infection bagle.

Tu vas utiliser Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.

Tu vas essayer de lancer en mode sans échec. ( je dis bien essayer car ce virus peut empêcher l’accès à ce mode désinfection )
Tu redémarres ton ordinateur et tapotes sur la touche F8 jusqu’à l’apparition d’une fenêtre où tu pourras accéder au mode sans échec.

IMPORTANT : Si tu n’y arrives pas, n’insiste pas car sinon ton PC risque de faire des redémarrages en boucle. N’essaie pas non plus de modifier le fichier boot.ini

Tu utiliseras alors le logiciel sous Windows.
Tu lances Elibagla en double-cliquant dessus.

Il te faudra plusieurs fois le passer ( 3 à 4 fois ).
Tu postes le rapport. Il se trouve aussi en C:\Infosat.txt

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 13:33

verni29
en mode sans echec je n'y arrive pas ,sous windoxs c'est ok je l'ai passer plusieur fois comme tu le verra dans le rapport,suite a ça j'ai reouvert internet explorer et le fameux programme "NTSB investigator flight...." est revenu
voici le rapport

Sat Jan 17 11:43:35 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.

Sat Jan 17 11:46:50 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Renombrado a .VIR
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\440546.EXE --> Eliminado Bagle

Sat Jan 17 11:47:32 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\453828.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\575750.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\579390.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\F_DEVITS\APPLICATION DATA\DRIVERS\DOWNLD\591656.EXE --> Eliminado Bagle

Sat Jan 17 11:47:42 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:47:52 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:47:53 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:48:05 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:48:07 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:48:15 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:48:17 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:48:31 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:48:32 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:48:43 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:48:45 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:48:54 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:48:56 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:49:06 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:49:08 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:49:17 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:49:19 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:49:53 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:49:54 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Sat Jan 17 11:50:42 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\Documents and Settings\f_devits\Application Data\Drivers\WINUPGRO.EXE.VIR --> Eliminado
Eliminada Carpeta "%AppData%\Drivers"
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Jan 17 11:50:44 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12703
Nº Total de Ficheros: 79067
Nº de Ficheros Analizados: 14151
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jan 17 12:04:11 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12703
Nº Total de Ficheros: 79067
Nº de Ficheros Analizados: 14151
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jan 17 12:18:50 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Jan 17 12:18:52 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12702
Nº Total de Ficheros: 79066
Nº de Ficheros Analizados: 14151
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jan 17 12:43:27 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"

Sat Jan 17 12:43:35 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12703
Nº Total de Ficheros: 79068
Nº de Ficheros Analizados: 14151
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jan 17 13:01:05 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"

Sat Jan 17 13:01:06 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12703
Nº Total de Ficheros: 79067
Nº de Ficheros Analizados: 14151
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Jan 17 13:16:18 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Drivers"

Sat Jan 17 13:16:19 2009
EliBagle v12.11b (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 12 de Enero del 2009)
-----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 12703
Nº Total de Ficheros: 79070
Nº de Ficheros Analizados: 14151
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Jespère que l'ont pourra dépatouiller ce truc :-)

bàt

A+
fab

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 14:33

Pas simple en effet.
IL y a régulièrement de nouvelles variantes de cette infection.

1) Pour la saisie d'écran, tu me l'envoies via http://cjoint.com/
Tu m'indiqueras le lien crée pour que je puisse visualiser cette capture.

2) Télécharge gmer
http://www.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l’outil est sur l’onglet RootKit/Malware.

A la fin du scan, clique sur le bouton save pour enregsitrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 14:38

berni29

voici déja le lien http://cjoint.com/?btoLJPRaVK

je fait le reste et poste

A+

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 14:48

Tu me posteras également un rapport Hijackthis après le rapport de Gmer.

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 14:56

verni29

voicidéja le rapport gmer
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-17 14:54:21
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT 864AEAD0 ZwConnectPort
SSDT \??\C:\Program Files\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA9827350]
SSDT \??\C:\Program Files\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA9827580]

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.14 ----
la suite arrive
bàt

Réponse

fabnok 36Messages postés 16 janvier 2009Date d'inscription 17 janv. 2009 à 14:59

et voici le rapport hijacktis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58, on 2009-01-17
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\HW LMT\tray\bin\ilmt_tray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\HW LMT\server\lmtserver\bin\lmt_server.exe
C:\WINDOWS\system32\ctfmon.exe
C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LmtSysMonitor] "C:\HW LMT\tray\bin\ilmt_tray.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = flc2000.com
O17 - HKLM\Software\..\Telephony: DomainName = flc2000.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = flc2000.com
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Ajouter un commentaire

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 15:08

1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe

Tu choisis l'option " Fixchecked" en bas de la page.

2) Double clic sur le raccourci FindyKill sur ton bureau
Au menu principal,choisis l'option 1 (Recherche)

Poste le rapport FindyKill.txt.

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 15:11

voici le rapport vern29

----------------- FindyKill V4.713 ------------------

* User : f_devits - FLCLXP27WW
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/01/09 par Chiquitine29
* Recherche effectuée à 15:10:26 le 2009-01-17
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\HW LMT\tray\bin\ilmt_tray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\HW LMT\server\lmtserver\bin\lmt_server.exe
C:\WINDOWS\system32\ctfmon.exe
C:\HW LMT\uninstall\jre\jre_win\bin\javaw.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Processus infectieux stoppés ] ----------------

"C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe" (876)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Found ! [2009-01-17 11:43] - "C:\Muestras"
Found ! [2009-01-17 13:21] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\f_devits\Application Data

Found ! [2009-01-17 14:54] - "C:\Documents and Settings\f_devits\Application Data\drivers"
Found ! [2009-01-17 14:54] - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
Found ! [2006-09-15 05:07] - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
Found ! [2009-01-17 14:57] - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"

»»»» Presence des fichiers dans C:\DOCUME~1\f_devits\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
LmtSysMonitor="C:\HW LMT\tray\bin\ilmt_tray.exe"
PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\ccApp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\GoogleToolbarNotifier]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_CURRENT_USER\Software\bisoft

/!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

/!\ Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

/!\ Mode sans echec non fonctionnel !!

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 2

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Fixed Drive

+- Contenu de l'autorun : C:\autorun.inf

+- presence des fichiers :

Found ! [2009-01-17 08:31][d--------] - C:\autorun.inf

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

bàt

Réponse

verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 janv. 2009 à 15:18

Repasse FindyKill option 2 et poste le rapport.

Je vais demander conseil.

A+

Ajouter un commentaire

fabnok - 17 janv. 2009 à 16:01

voici le rapport verni29

----------------- FindyKill V4.713 ------------------

* User : f_devits - FLCLXP27WW
* Executed from : C:\Program Files\FindyKill
* Update on 17/01/09 by Chiquitine29
* Start at 15:26:59 the 2009-01-17
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((( *** deleting *** ))))))))))))))))))

--------------- [ Active Processes ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Infected files / folders ] ----------------

»»»» Supression files in C:

Deleted ! - "C:\Muestras"
Deleted ! - C:\InfoSat.txt

»»»» Supression files in C:\WINDOWS

»»»» Supression files in C:\WINDOWS\Prefetch

Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-30FB4C58.pf

»»»» Supression files in C:\WINDOWS\system32

»»»» Supression files in C:\WINDOWS\system32\drivers

»»»» Supression files in C:\Documents and Settings\f_devits\Application Data

Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\f_devits\Application Data\drivers"

»»»» Supression files in C:\DOCUME~1\f_devits\LOCALS~1\Temp

»»»» Supression files in C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[6].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_2[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[5].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[6].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_3[4].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ED03HIB7\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\LVF08PF7\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\SS59L4OI\b64_3[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[2].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_1[3].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[1].jpg
Deleted ! - C:\Documents and Settings\f_devits\Local Settings\Temporary Internet Files\Content.IE5\ZEWYNEN3\b64_2[2].jpg

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_USERS\S-1-5-21-183583537-3401663046-353351459-3168\Software\Local AppWizard-Generated Applications\winupgro

--------------- [ States / Restarting of services ] ----------------

+- Safe boot mode restored !

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Fixed Drive

+- deleting files :

Not deleted !! - C:\autorun.inf

--------------- [ Registry / Mountpoint2 ] ----------------

-> Not found !

--------------- [ Searching Other Infections ] ----------------

Références de comparaison Bagle MD5 :

d8a9e541edae327d4fd34bcd80d34eac C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe
d8a9e541edae327d4fd34bcd80d34eac C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.11b

Suspect ! - 1b1a6af3581681d8b9cb689c532922ca C:\allu\Crack\AVSVideoConverter.exe
Suspect ! - 5950bace7502e0cf14f8236fdbb039c7 C:\Program Files\AVS4YOU\AVSSoftwareNavigator\AVS4YOUSoftwareNavigator.exe
Suspect ! - 4ce59db357385381c20ab44465e5a3ca C:\Program Files\AVS4YOU\AVSVideoConverter6\AVSVideoConverter.exe
Suspect ! - 17edef0b1b14d618ccbd9a8f89f02a36 C:\Program Files\AVS4YOU\Registration.exe
Suspect ! - 96011d5a12161242d8c4eeba20e1fe0b C:\Program Files\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe
Suspect ! - 5e533484167ecc8a976e7ca93ee57caf C:\Program Files\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe
Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Common Files\Symantec Shared\ccApp.exe
Suspect ! - d8a9e541edae327d4fd34bcd80d34eac C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

--------------- [ Searching Cracks / Keygen ] ----------------

---------------- ! End of report ! ------------------

1 2

Répondre au sujet

Posez votre question

Dossier à la une

5 extensions si vous voulez revenir à l'ancien Facebook

5 extensions si vous voulez revenir à l'ancien Facebook

Vous n'aimez pas le lifting de Facebook ? Le site Mashable propose cinq étapes pour revenir à l'ancienne présentation du réseau social.

Les interviews exclusives

Bazando fidélise ses clients avec les Facebook credits

Toutes les interviews

Collection CommentÇaMarche.net

Jean-Marie Cocheteau

Tout sur les meilleures extensions pour Firefox et IE : Étendre les possibilités de son navigateur favori

Plus de livres

Hacktool.rootkit [Résolu]

Hacktool.rootkit »

5 extensions si vous voulez revenir à l'ancien Facebook

"un outil vraiment simple à la portée de tous"

Tout sur les réseaux et Internet : Concevoir et sécuriser son réseau

Tout sur les meilleures extensions pour Firefox et IE : Étendre les possibilités de son navigateur favori

Tout sur les systèmes d’information : Grandes, moyennes et petites entreprises

Tout pour bien utiliser Outlook 2010

Tout sur le C++