Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Problème avec wscript.exe

Dernière réponse le 11 jun 2009 à 20:12:43 abdelkaderg54, le 11 jun 2009 à 01:55:16

Signaler ce message aux modérateurs

Salut !
Wscript.exe me bouffe vraiment la tete u_u
Comment m'en débarasser?!

Voilà le rapport HijackThis-->

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:49:12, on 11/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Opera\Opera.exe
C:\Qt\2009.01\bin\qtcreator.exe
C:\DOCUME~1\GuenBen\LOCALS~1\Temp\tsidf.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Qt\2009.01\bin\qtcreator.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Documents and Settings\GuenBen\Bureau\essaie\debug\essaie.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/eng/faq-red-circle.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =    .-~= wellcome khaled-3hp =~-.  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system32:system.scr
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\win.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FAB8291-365E-493B-A298-ED4F1F349A2C}: NameServer = 41.221.20.4 213.140.2.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

--
End of file - 4285 bytes

Thanks in advance ^^

Meilleures réponses pour « problème avec wscript.exe » dans :

Windows ne trouve pas "wscript.exe" Voir

WSCRIPT.EXE en masse (Résolu) Voir

Wscript.exe (Résolu) Voir

Message d'erreur: wscript.exe (Résolu) Voir

Erreur sur WSCRIPT.EXE au demarrage Voir

Wscript.exe Voir

Ctfmon - ctfmon.exe Voirctfmon - ctfmon.exe Le processus ctfmon.exe (dont le nom complet de processus est Alternative User Input Services) est un processus générique de Windows NT/2000/XP servant à gérer les entrées de saisie texte alternatives telles que les logiciels...

Csrss - csrss.exe Voircsrss - csrss.exe Le processus csrss.exe (csrss signifiant Client/Server Runtime Subsystem) est un processus générique de Windows NT/2000/XP servant à gérer les fenêtres et les éléments graphiques de Windows. Le fichier correspondant à ce...

Svchost - svchost.exe Voirsvchost - svchost.exe Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il...

Posez votre question Répondre

gen-hackman, le 11 jun 2009 à 02:05:35

Salut :

######## | XP _ Instal & recherche | #######

Telecharge et install UsbFix (de C_XX & Chiquitine29)

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

G3и-н@¢км@и™©®

Répondre à gen-hackman

Destrio5, le 11 jun 2009 à 02:09:37

Bonjour,

"O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system32:system.scr"

--> Quel bel ADS !

Répondre à Destrio5

abdelkaderg54, le 11 jun 2009 à 02:15:07

Pas trop compris ^^
Tu peux réformuler , que ce qu'il a l'ADS?

Répondre à abdelkaderg54

abdelkaderg54, le 11 jun 2009 à 02:11:03

Merci;
C'est fait ---> voilà le résultat

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Opera\Opera.exe
C:\Qt\2009.01\bin\qtcreator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre Startup ]

HKCU_Main:   "Local Page"="C:\\WINDOWS\\system32\\blank.htm" 
HKCU_Main:   "Search Page"="http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR" 
HKCU_Main:   "Start Page"="http://www.google.com" 
HKCU_Main:   "Window Title"="   .-~= wellcome khaled-3hp =~-.  " 
HKLM_logon:  "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," 
HKLM_logon:  "DefaultUserName"="GuenBen" 
HKLM_logon:  "AltDefaultUserName"="GuenBen" 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 
HKLM_Run:    avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
HKLM_Run:    svchost=C:\WINDOWS\system32:system.scr 
HKLM_Run:    regdiit=C:\WINDOWS\system32\win.exe 
HKLM_Run:    IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 
HKLM_Run:    MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC 
HKLM_Run:    PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC 
HKLM_Run:    PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName 
HKLM_Run:    CTFMON=C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg 
HKCU_Run:    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background  

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\win.exe  
Found ! C:\WINDOWS\system32\winjpg.jpg  
Found ! C:\winfile.jpg  
Found ! C:\autorun.inf  
Found ! D:\winfile.jpg  
Found ! D:\autorun.inf  
Found ! E:\winfile.jpg  
Found ! E:\autorun.inf  
Found ! F:\winfile.jpg  
Found ! F:\autorun.inf  
Found ! G:\winfile.jpg  
Found ! G:\autorun.inf  
Found ! H:\winfile.jpg  
Found ! H:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CTFMON"    
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"    
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "svchost"    
Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe    
Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe    
Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe    
Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe    
Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe    
Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\MSConfig.exe    
Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe    
Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwin.exe    
Found ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )  

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{f028ee50-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{f028ee51-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{f028ee52-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{f028ee53-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
HKCU\...\Explorer\MountPoints2\{f028ee54-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  

################## [ ! Fin du rapport # UsbFix V3.029 ! ]

Répondre à abdelkaderg54

Destrio5, le 11 jun 2009 à 02:15:09

Bonne continuation ;)

Répondre à Destrio5

gen-hackman, le 11 jun 2009 à 02:15:43

Joli !

######## | Suppression | ########

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

######### | Désinstallation | #######

# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option Désinstaller .... G3и-н@¢км@и™©®

Répondre à gen-hackman

gen-hackman, le 11 jun 2009 à 02:17:51

Lol je t avais pas vu mdr ca va mister ? G3и-н@¢км@и™©®

Répondre à gen-hackman

Destrio5, le 11 jun 2009 à 02:18:36

Oui, impeccable. Je suis ce topic.

Répondre à Destrio5

gen-hackman, le 11 jun 2009 à 02:20:22

Moi aussi devant lol G3и-н@¢км@и™©®

Répondre à gen-hackman

abdelkaderg54, le 11 jun 2009 à 11:54:07

Voilà encore el rapport de UsbFix après la suppression :-->
à vous de juger !
On dirait qu'il n'a pas pu supprimer ces deux :
(!) Not Deleted ! H:\winfile.jpg
(!) Not Deleted ! H:\autorun.inf
???

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\system32\win.exe    
Deleted ! C:\WINDOWS\system32\winjpg.jpg    
Deleted ! C:\winfile.jpg    
Deleted ! C:\autorun.inf    
Deleted ! D:\winfile.jpg    
Deleted ! D:\autorun.inf    
Deleted ! E:\winfile.jpg    
Deleted ! E:\autorun.inf    
Deleted ! F:\winfile.jpg    
Deleted ! F:\autorun.inf    
Deleted ! G:\winfile.jpg    
Deleted ! G:\autorun.inf    
(!) Not Deleted ! H:\winfile.jpg   
(!) Not Deleted ! H:\autorun.inf   

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CTFMON"    
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"    
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "svchost"    
Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe    
Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe    
Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe    
Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe    
Deleted ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe    
Deleted ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe    
Deleted ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwin.exe    
# HKLM\software\microsoft\security center\\ "AntiVirusOverride" # -> Reset sucessfully !  

################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[08/06/2009 20:00|--a------|0] - C:\AUTOEXEC.BAT
[08/06/2009 19:55|---hs----|212] - C:\boot.ini
[07/09/2002 02:00|-rahs----|4952] - C:\Bootfont.bin
[08/06/2009 20:00|--a------|0] - C:\CONFIG.SYS
[08/06/2009 20:00|-rahs----|0] - C:\IO.SYS
[08/06/2009 20:00|-rahs----|0] - C:\MSDOS.SYS
[04/08/2004 04:38|-rahs----|47564] - C:\NTDETECT.COM
[04/08/2004 04:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[09/06/2009 01:43|--ah-----|268] - C:\sqmdata00.sqm
[09/06/2009 07:42|--ah-----|280] - C:\sqmdata01.sqm
[09/06/2009 08:18|--ah-----|268] - C:\sqmdata02.sqm
[09/06/2009 01:43|--ah-----|244] - C:\sqmnoopt00.sqm
[09/06/2009 07:42|--ah-----|244] - C:\sqmnoopt01.sqm
[09/06/2009 08:18|--ah-----|244] - C:\sqmnoopt02.sqm
[11/06/2009 11:49|--a------|3922] - C:\UsbFix.txt
[02/06/2009 14:03|--a------|2195456] - D:\SkypeSetup.exe
[03/06/2009 00:07|--a------|16820623] - D:\vlc-0.9.9-win32.exe
[26/03/2008 17:08|--a------|144] - E:\43.ram
[24/09/2008 01:52|--a------|620] - E:\Adjective.txt
[02/06/2009 22:49|--a------|8401433] - E:\aMSN-0.97.2-tcl85-windows-installer.exe
[18/05/2009 21:27|--a------|19] - E:\ard.bat
[05/05/2009 00:18|--a------|131584] - E:\codeblocks_1_32412.exe
[06/08/2008 14:44|--a------|3895226] - E:\epson30712eu.zip
[25/04/2008 18:12|--a------|2667435] - E:\forum.rar
[13/10/2008 16:08|--a------|239998] - E:\get_video
[26/03/2008 21:21|--a------|4278322] - E:\HELP.bmp
[27/06/2008 07:03|--a------|190630] - E:\ie_tab-1.5.20080618-fx-win.xpi
[18/02/2009 16:35|--a------|301294] - E:\L-Amazighe version arabe$.pdf
[18/05/2009 21:27|--a------|0] - E:\Nouveau Document texte (2).txt
[18/04/2008 17:24|--a------|743] - E:\Nouveau Document texte.txt
[20/03/2008 03:42|--a------|13552824] - E:\PALTALK.rar
[27/09/2008 09:54|--a------|2326] - E:\recette.txt
[10/04/2008 23:53|--a------|603] - E:\r&#8218;seeeaux programmation.doc
[03/02/2008 15:41|--a------|35] - E:\Serail site.txt
[16/06/2008 21:29|--a------|115] - E:\serveur.txt.txt
[17/04/2008 09:45|--a------|16360575] - E:\solid converter pdf professional v3 0 299 + crack.rar
[25/04/2008 19:08|--a------|47] - E:\theme.txt
[23/03/2009 11:30|--a------|1593175] - E:\video.flv
[05/05/2009 00:18|--a------|2463232] - E:\WLinstaller.exe
[03/06/2009 21:42|--a------|3905536] - G:\opera_opera_8.54_francais_9491.exe
[06/06/2009 10:59|--a------|86721] - G:\?.docx
[?|?|?] - H:\winfile.jpg
[?|?|?] - H:\autorun.inf

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.029 ! ]

Répondre à abdelkaderg54

gen-hackman, le 11 jun 2009 à 11:56:29

Répondre à gen-hackman

abdelkaderg54, le 11 jun 2009 à 11:58:00

Ok , merci !
Attends je vais le refaire !

Répondre à abdelkaderg54

abdelkaderg54, le 11 jun 2009 à 12:22:57

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

(!) Not Deleted ! H:\winfile.jpg   
(!) Not Deleted ! H:\autorun.inf   

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "svchost"    

################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[08/06/2009 20:00|--a------|0] - C:\AUTOEXEC.BAT
[08/06/2009 19:55|---hs----|212] - C:\boot.ini
[07/09/2002 02:00|-rahs----|4952] - C:\Bootfont.bin
[08/06/2009 20:00|--a------|0] - C:\CONFIG.SYS
[08/06/2009 20:00|-rahs----|0] - C:\IO.SYS
[08/06/2009 20:00|-rahs----|0] - C:\MSDOS.SYS
[04/08/2004 04:38|-rahs----|47564] - C:\NTDETECT.COM
[04/08/2004 04:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[09/06/2009 01:43|--ah-----|268] - C:\sqmdata00.sqm
[09/06/2009 07:42|--ah-----|280] - C:\sqmdata01.sqm
[09/06/2009 08:18|--ah-----|268] - C:\sqmdata02.sqm
[09/06/2009 01:43|--ah-----|244] - C:\sqmnoopt00.sqm
[09/06/2009 07:42|--ah-----|244] - C:\sqmnoopt01.sqm
[09/06/2009 08:18|--ah-----|244] - C:\sqmnoopt02.sqm
[11/06/2009 12:14|--a------|2549] - C:\UsbFix.txt
[02/06/2009 14:03|--a------|2195456] - D:\SkypeSetup.exe
[03/06/2009 00:07|--a------|16820623] - D:\vlc-0.9.9-win32.exe
[26/03/2008 17:08|--a------|144] - E:\43.ram
[24/09/2008 01:52|--a------|620] - E:\Adjective.txt
[02/06/2009 22:49|--a------|8401433] - E:\aMSN-0.97.2-tcl85-windows-installer.exe
[18/05/2009 21:27|--a------|19] - E:\ard.bat
[05/05/2009 00:18|--a------|131584] - E:\codeblocks_1_32412.exe
[06/08/2008 14:44|--a------|3895226] - E:\epson30712eu.zip
[25/04/2008 18:12|--a------|2667435] - E:\forum.rar
[13/10/2008 16:08|--a------|239998] - E:\get_video
[26/03/2008 21:21|--a------|4278322] - E:\HELP.bmp
[27/06/2008 07:03|--a------|190630] - E:\ie_tab-1.5.20080618-fx-win.xpi
[18/02/2009 16:35|--a------|301294] - E:\L-Amazighe version arabe$.pdf
[18/05/2009 21:27|--a------|0] - E:\Nouveau Document texte (2).txt
[18/04/2008 17:24|--a------|743] - E:\Nouveau Document texte.txt
[20/03/2008 03:42|--a------|13552824] - E:\PALTALK.rar
[27/09/2008 09:54|--a------|2326] - E:\recette.txt
[10/04/2008 23:53|--a------|603] - E:\r‚seeeaux programmation.doc
[03/02/2008 15:41|--a------|35] - E:\Serail site.txt
[16/06/2008 21:29|--a------|115] - E:\serveur.txt.txt
[17/04/2008 09:45|--a------|16360575] - E:\solid converter pdf professional v3 0 299 + crack.rar
[25/04/2008 19:08|--a------|47] - E:\theme.txt
[23/03/2009 11:30|--a------|1593175] - E:\video.flv
[05/05/2009 00:18|--a------|2463232] - E:\WLinstaller.exe
[03/06/2009 21:42|--a------|3905536] - G:\opera_opera_8.54_francais_9491.exe
[06/06/2009 10:59|--a------|86721] - G:\?.docx
[?|?|?] - H:\winfile.jpg
[?|?|?] - H:\autorun.inf

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.029 ! ]

Répondre à abdelkaderg54

abdelkaderg54, le 11 jun 2009 à 12:23:34

Désolé pour l'attente un peu longue !^^

Répondre à abdelkaderg54

gen-hackman, le 11 jun 2009 à 12:40:00

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

Pour me le transmettre clique sur ce lien

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
G3и-н@¢км@и™©®

Répondre à gen-hackman

abdelkaderg54, le 11 jun 2009 à 18:49:35

Resalut !
L'outil m'as généré deux fichiers les voilà :
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj200906/cij7tUPb3i.txt
Extras.txt :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijqGW0KHV.txt

Répondre à abdelkaderg54

gen-hackman, le 11 jun 2009 à 20:12:43

On dirait bien du conficker...

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

--
G3и-н@¢км@и™©®

Répondre à gen-hackman

Posez votre question Répondre