"W32/Perlovga ".Résolu/Fermé

Question

Bonjour, ou plutot bonsoir,

Je vous sollicite une nouvelle fois pour un problème de virus. Je ne sais pas ce que ma soeur a fait sur mon disque dur externe, mais à présent quand je l'ouvre j'ai le droit à un message d'alerte de mon antivirus me disant qu'il est infecté par "W32/Perlovga A.1". 

J'aurais bien formaté mon disque dur, mais je ne peux pas j'ai des documents importants dessus et en un seul exemplaire. J'ai donc du l'ouvrir malgré le virus, qui s'est bien entendu propager dans mon système.

Je ne sais pas du tout quoi faire. Quelqu'un pourrait-il m'aider ? 

je vous remercie par avance.

Bonne soirée

Utilisateur anonyme · Answer

Bonsoir,

* C'est quoi ton antivirus ?

Louloute2207 · Answer

J'utilise antivir

Utilisateur anonyme · Answer

Re,



* Telecharges RSIt sur ton bureau :
http://images.malwareremoval.com/random/RSIT.exe

* double clic sur RSIT pour lancer le programme 

* cliques sur " continues " à l'ecran disclaimer

* si l'outil hijackthis n'est pas present sur ton pc, RSIT le telechargera
--> acceptes la license

* A la fin de l'analyse --> 2 fichiers textes s'ouvriront

* Postes le contenu de log.txt et info.txt ( dans la barre des taches)

Louloute2207 · Answer

très bien, voici le contenu log.txt :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-02-02 22:47:07
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 34 GB (63%) free of 54 GB
Total RAM: 1023 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47:08, on 02/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS.0\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32
vsvc32.exe
C:\WINDOWS.0\system32\pctspk.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ask.com/?o=1607
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS.0\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS.0\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS.0\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS.0\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS.0\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS.0\TEMP\E_SC3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS.0\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://louloutedegralhas.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS.0\system32\cisvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS.0\system32\pctspk.exe

Utilisateur anonyme · Answer

Re,

* Quelle galère, 3 fois que j'essayes de te repondre, 3 fois  j'ai du recommencer!
--> je te raconte meme pas ! c'est quoi ce bug ?
--> quand j'essayes de repondre --> on me repond --> veuillez remplir le titre du message !
Dingue ! enfin, bref..


* Telecharges OTMoveIt3 sur ton bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

* Une fois téléchargé, double-cliques sur OTMoveIt3 pour lancer le programme

* Assures toi que " Unregister Dll's and Ocx " soit biien coché

* Copies les lignes ( en gras ) ci-dessous :






:processes
:explorer.exe


:reg
[HKEY_CURRENT_USER\software\microsoft\windows\currentversiont\explorer\mountpoint2\
{d754315e-c9c4-11dd-9f31-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoint2\
{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoint2\
{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoint2\
{cd12a816-81cc-9e8d-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoint2\
{cd129df5-81cc-11dd-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoint2\
{3019313f-ab06-11dd-9eeb-0040ca33d378}]


:commands
[emptytemp]
[start explorer]
[reboot]





* Et colles les dans le cadre de gauche " OTMoveIt "
"Past List of Folder/ Folders to Move "

* Cliques sur Moveit ! pour lancer la suppression !

* il faudra peut etre redemarreer l'ordi, clic sur " OK ", sinon fais le manuellement

* Le resultat apparaitra dans " Results "

* Cliques sur " Exit " pour fermer

* Postes le rapport situé dans c:\___Otmoveit\Moved Files

* Note : si ton bureau ne reapparait pas, presses les touches :
Ctrl + Alt + Supp --> gestionnaire de taches --> onglet " processus "
--> fichier --> tapes explorer et puis valides !



Encore désolé, mais rends toi compte que ça fait la 4eme fois là, j'espère que ça va passer !
Allez CCM, deconnes pas !

Louloute2207 · Answer

Sniff, j'ai un message d'erreur lorsque je lance la suppression, le voici : http://images2.photomania.com/750719/1/radD80A2.jpg

totobetourne · Answer

je m incruste , bonjour

l erreur vient de la :
:processes
:explorer.exe

remplace par(enleve les 2 points devant explorer)

:processes
explorer.exe

ensuite copie et colle tout le reste et fait comme indique.

Utilisateur anonyme · Answer

Bonjour,


* En effet, merci tottebourne --> il faut effectivement enlever les 2 petits points

* Fait la manoeuvre, et ne mets pas les 2 petits points devant explorer.exe



PS : j'ai du recommencer 3 fois à cause de bug sur ccm, désolé

Utilisateur anonyme · Answer

Re,


* Recopie les lignes ci dessous dans le cadre gauche OTMoveIt :




:processes
explorer.exe

:reg
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{d754315e-c9c4-11dd-9f31-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{ffd5d1a1-9e6b-11dd-9ec6-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{cd12a816-81cc-11dd-9e8d-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
{cd129df5-81cc-11dd-9e8d-0040ca33d378}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
{3019313f-ab06-11dd-9eeb-0040ca33d378}]

:commands
[emptytemp]
[start explorer]
[reboot]






* Voilà la manipulation à refaire --> corrigé ( il manquait le " s " à mountpoints)

* Tu refais exactement la manipulation, mais avec le texte ci-dessus

Louloute2207 · Answer

Bonsoir,


ça a l'air de fonctionner, par contre le programme se bloque et je n'ai pas de rapport.

voici l'impression écran que j'ai faite : http://images2.photomania.com/750719/1/radB5263.jpg

Utilisateur anonyme · Answer

Re,

* Il faut recommencer la manipulation
--> comment se fait-il qu'il y ait  2 fois --> [reboot] --> dans Otmoveit

Louloute2207 · Answer

ça me fait la meme chose, je copie le texte qui etait en gras dans un précédent message, je fait move it, et j'ai ce que j'ai mis en lien dans mon précédent post. mais le programme se bloque, et mes icones de bureau disparaissent (je fais donc gestionnaire des taches /processus / fichier / explorer).

Utilisateur anonyme · Answer

Re, et désolé


* Refais la manip ainsi :

* copies les lignes en gras ci dessous stp :








:processes
explorer.exe


[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{cd129df5-81cc-11dd-9e8d-0040ca33d378}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{cd12a816-81cc-11dd-9e8d-0040ca33d378}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{d754315c-c9c4-11dd-9f31-0040ca33d378}]
[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{ffd5d1a1-9e6b-11dd-9ec6-0040ca33d378}]


:commands
[emptytemp]
[start explorer]
[reboot]





* et colles les dans le cadre de gauche OTMoveIt : " Past List of Files/ Folders to be moved "

* Cliques sur " moveit ! " pour lancer la suppression

* Quand le resultat apparait dans " Results " --> cliques sur Exit 

Note : dans certains cas, OTMoveit aura besoin de redemarrer, si il ne le fais pas
lui meme, fais le manuellement

* Postes le rapport situé à C:\_  Otmoveit\Moved Files\x x



---------- Encore désolé !


-

Louloute2207 · Answer

Bonjour,

Eureka ! ça a marché ;)

Voici le rapport :

========== PROCESSES ==========
Process explorer.exe killed successfully.
Unable to kill process: [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2
Unable to kill process: \{3019313a-ab06-11dd-9eeb-0040ca33d378}]
Unable to kill process: [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2
Unable to kill process: \{3019313a-ab06-11dd-9eeb-0040ca33d378}]
Unable to kill process: [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2
Unable to kill process: \{cd129df5-81cc-11dd-9e8d-0040ca33d378}]
Unable to kill process: [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2
Unable to kill process: \{cd12a816-81cc-11dd-9e8d-0040ca33d378}]
Unable to kill process: [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2
Unable to kill process: \{d754315c-c9c4-11dd-9f31-0040ca33d378}]
Unable to kill process: [ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2
Unable to kill process: \{ffd5d1a1-9e6b-11dd-9ec6-0040ca33d378}]
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_rxYSCErmYUuyEbjwlpqY scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02042009_074631

Files moved on Reboot...
File C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\etilqs_rxYSCErmYUuyEbjwlpqY not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\urlclassifier3.sqlite moved successfully.

totobetourne · Answer

"ca a marche"

pas vraiment car: Unable to kill process(incapable de tuer le processus)
je te dit cela pour que tu continues a ecouter ce qu il te dit.

Louloute2207 · Answer

oui enfin par "ça a marché" je voulais dire que ça n'a pas bugué. apres je me doute bien que le probleme n'est pas résolu. trop facile ! ... je perds pas espoir ...

totobetourne · Answer

feelgood intervient.

as tu des clefs usb ou disque dur externe ou as tu branche une clef de quelqu un recemment?

je dirai bien que c est par les ports que tu es infecte.

passe cela generalement ce programme reconnait les clefs mountpoints .
 Télécharges FindyKill de Chiquitine29 

Fais un clique droit sur le lien et choisis "enregistrer la cible sous ...." , destination le bureau .

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Entre dans le dossier " FindyKill "

Double clic sur " FindyKill.bat " (et pas sur autre chose!) pour lancer l'outil .

->choisis l'option 1 . Puis laisses travailler ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Louloute2207 · Answer

Oui j'ai mon disque dur externe, c'est de là que tout est parti, grace a ma petite soeur qui n'a pas pris la peine d'installer d'antivirus sur son pc et qui navigue un peu partout sans faire attention. Donc mon pc et mon disque dur externe (où j'ai toutes mes données les plus importantes) sont infectés.

Je reviens vers vous des que je pourrais faire la manip (je ne suis pas chez moi)

merci

totobetourne · Answer

sinon fait cela :le passage de findykill je ne pense pas qu il reso9lve grand chose. 1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC. 3)refais un rapport rsit a la fin pour regarder l evolution.

Louloute2207 · Answer

Voici mon rapport findykill (le disque I est mon disque dur externe) ###################### [ FindyKill V4.715 ] # User : Administrateur - SWEET-90399121B # Emplacement : C:\Program Files\FindyKill # Outils Mis a jours 29/01/09 par Chiquitine29 # Recherche effectuée à 13:39:09 le 04/02/2009 # Windows XP - Internet Explorer 7.0.5730.11 # [ FindyKill V4.715 - Scan ] ############## \\\\\\\\\\ [ Processus actifs ] /////////////////// C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\csrss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS.0\system32 vsvc32.exe C:\WINDOWS.0\system32\pctspk.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\alg.exe C:\WINDOWS.0\SOUNDMAN.EXE C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS.0\system32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Windows Live\Mail\wlmail.exe C:\Program Files\Mozilla Firefox\firefox.exe \\\\\\\\\ [ Fichiers/Dossiers infectieux ] /////////////////// ################## [ C:\ ] ################## [ C:\WINDOWS.0 ] Found ! [09/05/2006 19:36] - C:\WINDOWS.0\autorun.inf ################## [ C:\WINDOWS.0\Prefetch ] ################## [ C:\WINDOWS.0\system32 ] ################## [ C:\WINDOWS.0\system32\drivers ] ################## [ C:\Documents and Settings\Administrateur\Application Data ] ################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ] \\\\\\\\\ [ Registre / Startup ] /////////////////// [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] CTFMON.EXE=C:\WINDOWS.0\system32\ctfmon.exe EPSON Stylus DX5000 Series=C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS.0\TEMP\E_SC3.tmp" /EF "HKCU" LogitechSoftwareUpdate="C:\Program Files\Logitech\Video\ManifestEngine.exe" boot [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] SoundMan=SOUNDMAN.EXE NvCplDaemon=RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" TrueImageMonitor.exe=C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe AcronisTimounterMonitor=C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe Acronis Scheduler2 Service="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe" RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" LanguageShortcut="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" IMJPMIG8.1="C:\WINDOWS.0\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 MSPY2002=C:\WINDOWS.0\system32\IME\PINTLGNT\ImScInst.exe /SYNC PHIME2002ASync=C:\WINDOWS.0\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC PHIME2002A=C:\WINDOWS.0\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName Ulead AutoDetector v2=C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min QuickTime Task="C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe" LVCOMSX=C:\WINDOWS.0\system32\LVCOMSX.EXE LogitechVideoRepair=C:\Program Files\Logitech\Video\ISStart.exe LogitechVideoTray=C:\Program Files\Logitech\Video\LogiTray.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = \\\\\\\\\ [ Registre / Clés infectieuses ] /////////////////// \\\\\\\\\ [ Etat / Services ] /////////////////// # Services : [ Auto=2 / Demande=3 / Désactivé=4 ] Ndisuio - # Type de démarrage = 3 EapHost - # Type de démarrage = 3 Ip6Fw - # Type de démarrage = 3 SharedAccess - # Type de démarrage = 2 wuauserv - # Type de démarrage = 2 wscsvc - # Type de démarrage = 2 \\\\\\\\\ [ Recherche dans supports amovibles] /////////////////// # Informations : C: - Lecteur fixe D: - Lecteur fixe E: - Lecteur de CD-ROM I: - Lecteur fixe # Contenu de l'autorun : I:\autorun.inf [autorun] Shellexecute=copy.exe # presence des fichiers : Found ! [09/05/2006 19:36][--a------] - I:\autorun.inf Found ! [13/05/2006 04:40][-rahs----] - I:\copy.exe Found ! [20/05/2006 18:19][-rahs----] - I:\host.exe \\\\\\\\\ [ Registre / Mountpoint2 ] /////////////////// -> Not found ! ################## [ ! Fin du rapport # FindyKill V4.715 ! ]

Louloute2207 · Answer

voici le rapport findykiil (le disque I est mon disque dur externe) ###################### [ FindyKill V4.715 ] # User : Administrateur - SWEET-90399121B # Emplacement : C:\Program Files\FindyKill # Outils Mis a jours 29/01/09 par Chiquitine29 # Recherche effectuée à 13:39:09 le 04/02/2009 # Windows XP - Internet Explorer 7.0.5730.11 # [ FindyKill V4.715 - Scan ] ############## \\\\\\\\\\ [ Processus actifs ] /////////////////// C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\csrss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS.0\system32 vsvc32.exe C:\WINDOWS.0\system32\pctspk.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\alg.exe C:\WINDOWS.0\SOUNDMAN.EXE C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS.0\system32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Windows Live\Mail\wlmail.exe C:\Program Files\Mozilla Firefox\firefox.exe \\\\\\\\\ [ Fichiers/Dossiers infectieux ] /////////////////// ################## [ C:\ ] ################## [ C:\WINDOWS.0 ] Found ! [09/05/2006 19:36] - C:\WINDOWS.0\autorun.inf ################## [ C:\WINDOWS.0\Prefetch ] ################## [ C:\WINDOWS.0\system32 ] ################## [ C:\WINDOWS.0\system32\drivers ] ################## [ C:\Documents and Settings\Administrateur\Application Data ] ################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ] \\\\\\\\\ [ Registre / Startup ] /////////////////// [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] CTFMON.EXE=C:\WINDOWS.0\system32\ctfmon.exe EPSON Stylus DX5000 Series=C:\WINDOWS.0\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS.0\TEMP\E_SC3.tmp" /EF "HKCU" LogitechSoftwareUpdate="C:\Program Files\Logitech\Video\ManifestEngine.exe" boot [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] SoundMan=SOUNDMAN.EXE NvCplDaemon=RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" TrueImageMonitor.exe=C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe AcronisTimounterMonitor=C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe Acronis Scheduler2 Service="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe" RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" LanguageShortcut="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" IMJPMIG8.1="C:\WINDOWS.0\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 MSPY2002=C:\WINDOWS.0\system32\IME\PINTLGNT\ImScInst.exe /SYNC PHIME2002ASync=C:\WINDOWS.0\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC PHIME2002A=C:\WINDOWS.0\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName Ulead AutoDetector v2=C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min QuickTime Task="C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe" LVCOMSX=C:\WINDOWS.0\system32\LVCOMSX.EXE LogitechVideoRepair=C:\Program Files\Logitech\Video\ISStart.exe LogitechVideoTray=C:\Program Files\Logitech\Video\LogiTray.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = \\\\\\\\\ [ Registre / Clés infectieuses ] /////////////////// \\\\\\\\\ [ Etat / Services ] /////////////////// # Services : [ Auto=2 / Demande=3 / Désactivé=4 ] Ndisuio - # Type de démarrage = 3 EapHost - # Type de démarrage = 3 Ip6Fw - # Type de démarrage = 3 SharedAccess - # Type de démarrage = 2 wuauserv - # Type de démarrage = 2 wscsvc - # Type de démarrage = 2 \\\\\\\\\ [ Recherche dans supports amovibles] /////////////////// # Informations : C: - Lecteur fixe D: - Lecteur fixe E: - Lecteur de CD-ROM I: - Lecteur fixe # Contenu de l'autorun : I:\autorun.inf [autorun] Shellexecute=copy.exe # presence des fichiers : Found ! [09/05/2006 19:36][--a------] - I:\autorun.inf Found ! [13/05/2006 04:40][-rahs----] - I:\copy.exe Found ! [20/05/2006 18:19][-rahs----] - I:\host.exe \\\\\\\\\ [ Registre / Mountpoint2 ] /////////////////// -> Not found ! ################## [ ! Fin du rapport # FindyKill V4.715 ! ]

Louloute2207 · Answer

j'ai lancé le logiciel rav en début d'apres midi, mais il est toujours en scan, c'est normal ?

totobetourne · Answer

pour rav c est normal(tu n as pas lu tout le messageconcernant rav),

fait la suite avec flash desinfector.

et ensuite findykill passe le en option 2.

Utilisateur anonyme · Answer

Bonsoir,


* Autant pour moi, j'avais oublié le  " :reg " pour OTMoveIT

- Donc on reprends et c'est la bonne ce coup-ci !

* Colles les lignes ( en gras ) ci dessous :







:processes
explorer.exe


:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{3019313a-ab06-11dd-9eeb-0040ca33d378}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{cd129df5-81cc-11dd-9e8d-0040ca33d378}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{cd12a816-81cc-11dd-9e8d-0040ca33d378}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{d754315c-c9c4-11dd-9f31-0040ca33d378}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{ffd5d1a1-9e6b-11dd-9ec6-0040ca33d378}]


:commands
[emptytemp]
[start explorer]
[reboot]




-- Colles les dans le cadre de gauche OTMoveIt : Past List of Files/ Folders to be moved

* Cliques sur MoveIt ! pour lancer la suppression

*Quand le resultat apparait dans " Results "
--> cliques sur " Exit "

* Postes le rapport généré stp !



Totobetourne : J'ai aussi une vie à coté !
Meme si j'aimerais, je ne vie pas d'amour et d'eau fraiche !


* Louloute --> fais OtmoveIt puisque c'est la bonne cette fois et postes le rapport 
avec un nouveau RSIT stp !

Louloute2207 · Answer

Pout Otmoveit ça se bloque encore ...

voici l'imprim ecran : http://images2.photomania.com/750719/1/radB60B3.jpg



Concernant flash disinfector je n'ai pas de rapport qui s'affiche.

totobetourne · Answer

je sais que chacun a une vie a cote , je vois pas pourquoi tu me lances cela a la tronche , je n ai rien ecrit pouvant te le faire penser. c est une phrase que je repete souvent lorsqu il y a des topics msn.

ecoute feelgood (pour flas disifector pas de rapport c est ok).

Louloute2207 · Answer

comme le dirait une chanson : "no stress" ! 

j'ai laissé mon pc allumé en train de faire une analyse antivirus, pour voir si il est encore dans windows ou non.

Par contre il est toujours sur mon disque dur, j'ai voulu tenter et j'ai été bloqué par un message d'erreur d'antivir me disant que Perlovga etait présent sur mon disque I.

Utilisateur anonyme · Answer

Bonjour, * Pas de soucis Toto --> juste que c'était pas ma journée hier ! ( c'est juste pour le post17 ou tu me demandes d'intervenir) --> ne le prends pas mal stp ! * Louloute , branches tes disques amovibles ( clé USB, disque dur externe, ipod etc...) >>> Sans les ouvrir <<<<< * Relances Findykill et choisis l'options 2 * Patientes le temps de la desinfection ( 2 redemarrages) * Postes le rapport généré * Ensuite, telecharges Rooter sur ton bureau: https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2 - Double cliques sur Rooter.exe pour le lancer et laisses toi guider - Il va rapidement scanner le pc * Postes le rapport généré stp _ _ _

Louloute2207 · Answer

voici le rapport findykill



###################### [ FindyKill V4.715 ]

# User : Administrateur - SWEET-90399121B
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 23:41:41 the 05/02/2009
# Windows XP - Internet Explorer 7.0.5730.11
 
# [ FindyKill V4.715 - Deleting ] ############### 
 
\\\\\\\\\  [ Active Processes ]  ///////////////////  
 

C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\userinit.exe
C:\WINDOWS.0\system32\WgaTray.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
 
\\\\\\\\\  [ Infected Files / Folders ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS.0 ] 
 
 
################## [ C:\WINDOWS.0\Prefetch ] 
 
Deleted ! - C:\WINDOWS.0\prefetch\MDELK.EXE-086F0B56.pf 
 
################## [ C:\WINDOWS.0\system32 ] 
 
 
################## [ C:\WINDOWS.0\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Administrateur\Application Data ] 
 
 
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ] 
 
 
################## [ C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5 ] 
 
 
\\\\\\\\\  [  Registry / Infected keys ]  ///////////////////  
 
 
\\\\\\\\\  [ States / Restarting of services ]  ///////////////////  
 

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio - # Type of startup  = 3 
 
EapHost - # Type of startup  = 2 
 
Ip6Fw - # Type of startup  = 2 
 
SharedAccess - # Type of startup  = 2 
 
wuauserv - # Type of startup  = 2 
 
wscsvc - # Type of startup  = 2 
 
 
\\\\\\\\\  [ Cleaning Removable drives ]  ///////////////////  
 
# Informations : 

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur de CD-ROM

I: - Lecteur fixe

 
# deleting files : 
 
Not deleted !! - C:\autorun.inf  
Not deleted !! - D:\autorun.inf  
 
\\\\\\\\\  [ Registry / Mountpoint2 ]  ///////////////////  
 
 
 -> Not found ! 
 
 
\\\\\\\\\  [ Searching Other Infections ]  ///////////////////  
 
 
\\\\\\\\\  [ Searching Cracks / Keygen ]  ///////////////////  
 
C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Kate Voegele - Where the Sidewalk Cracks.wma
 
################## [ ! End of report #   ! ]

Louloute2207 · Answer

et voici le rapport rooter :

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:52 Go (Free:32 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:4 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
F:\ (CD or DVD)
I:\ (Local Disk) - FAT32 - Total:465 Go (Free:246 Go)

06/02/2009| 0:18

----------------------\  Search..

----------------------\  Cracks & Keygens..

C:\DOCUME~1\ADMINI~1\Mes documents\Ma musique\Kate Voegele - Where the Sidewalk Cracks.wma


1 - "C:\Rooter$\Rooter_1.txt" - 06/02/2009| 0:19

----------------------\  Scan completed at  0:19

Louloute2207 · Answer

mon cas est désespéré ... c'est pour ça que je n'ai plus de réponses ? sniiiff 

je plaisante, mais je perds patience avec ce virus à la noix

"W32/Perlovga ".

31 réponses

Discussions similaires

Newsletters