Salut

*****************************************************
************** Option 1 (Recherche) **************
*****************************************************


Télécharge FindyKill ( de Chiquitine29) sur ton bureau :



! Déconnecte toi et ferme toutes applications en cours !

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
G3и-н@¢км@и™©®

Salut,

bravo !!!

je voulais installer un logiciel sur mon ordinateur, mais mon antivirus le bloquait, en donnant un "nom" bizarre à ce type de fichier. J'ai donc désactiver l'antivirus

> belle connerie ! ... tu crois que ton antivirus est là pourquoi ? enfiler des perles ! ... si il te signal une infection c'est pas une blague ... toi tu le désactives et tu viens de te fourrer un Bagle ...



fais ceci :


Infection par un Bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essaye surtout de te rappeler si récemment tu n'as pas cliquer sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)


2-Télécharge FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre le sur ton bureau et pas ailleurs !

!! Déconnecte toi et ferme toutes applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil ,
ignore l'alerte *.)

-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


Notes importantes :
> si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .

--> Double clique sur le raccourci " FindyKill " qui est sur ton bureau .
( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ).

-->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...

Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Tuto : http://www.malekal.com/tutorial_FindyKill.php
Site de l'auteur : http://pagesperso-orange.fr/NosTools/findykill.html

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Salut Gen ...

je te laisse la main ... ;)


++ "Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Oui, j'avou être vraiment débile d'avoir fait cela. Merci pour vos méthodes. Je vais faire ça tout de suite, je vous tiens au courant s'il y a des problèmes.

Re,

je vous tiens au courant s'il y a des problèmes.

-> oui ... et surtout tu postes le rapport demandé ... ^^


++
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Oui, là c'est en train de se faire. Je mettrai sur le bloc note et le transfèrerait sur cet ordinateur pour le poster en message.

Combien de temps cela va-t-il prendre ? Un message apparaitra-t-il pour me prévenir que c'est terminé ?

Salut ske

ca depend de la grosseur des disques durs G3и-н@¢км@и™©®

J'ai deux disques durs qui font chacun 160GO je crois.

Bof ce davvrait pas etre bien long G3и-н@¢км@и™©®

D'accord.
D'ailleurs, avant de faire cela, comme je le disais précédemment, mon ordi ramait (par exemple lorsque l'écran de veille se mettait). Et bien maintenant, lorsque l'écran de veille se met, rien ne beug =)
Alors merci déjà pour ça :)

Ben pour l instant on a rien desinfecté c'est le repérage de l'infection G3и-н@¢км@и™©®

Ouais mais bizarrement, ça ne beug plus^^
Que faudra-t-il que je fasse après ?

Voila, la recherche est terminée. Je t'envoies ça comment ? Par mail ou par msn ? Dois-je t'envoyer tout ce qu'il y a d'écrit ou seulement une partie ?

Tout ce qui est dans le texte en copier coller ici G3и-н@¢км@и™©®

############################## | FindyKill V5.002 |

# User : Jobanania (Administrateurs) # PC-DE-JOBANANIA
# Update on 12/06/09 by Chiquitine29
# Start at: 13:47:18 | 16/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 144,04 Go (62,71 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 140,5 Go (54,85 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 998,72 Mo (996 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\SPBA\upeksvr.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Acer\Acer Bio Protection\CompPtcVUI.exe
C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\MySecurityCenter\Programs\service.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Jobanania\AppData\Roaming\drivers\winupgro.exe
C:\Users\Jobanania\AppData\Roaming\m\flec006.exe
C:\Windows\System32\wintems.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Users\JOBANA~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe
C:\Program Files\Acer\Acer VCM\acp2HID.exe
C:\Program Files\Acer\Empowering Technology\NotificationCenter\Framework.NotificationCenter.e­xe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe

############################## | Processus infectieux stoppés |

"C:\Users\Jobanania\AppData\Roaming\drivers\winupgro.exe" (3988)
"C:\Users\Jobanania\AppData\Roaming\m\flec006.exe" (4028)
"C:\Windows\System32\wintems.exe" (4036)

################## | C: |

Présent ! C:\autorun.inf
Présent ! D:\autorun.inf
Présent ! G:\autorun.inf

################## | C:\Windows |


################## | C:\Windows\system32 |

Présent ! C:\Windows\system32\mdelk.exe
Présent ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |

Présent ! C:\Windows\system32\drivers\down

################## | C:\Users\Jobanania\AppData\Roaming |

Présent ! C:\Users\Jobanania\AppData\Roaming\drivers
Présent ! C:\Users\Jobanania\AppData\Roaming\drivers\111wfs1intwq.sys
Présent ! C:\Users\Jobanania\AppData\Roaming\drivers\11s11ro1s1a2.sys
Présent ! C:\Users\Jobanania\AppData\Roaming\drivers\downld
Présent ! C:\Users\Jobanania\AppData\Roaming\drivers\winupgro.exe
Présent ! C:\Users\Jobanania\AppData\Roaming\m
Présent ! C:\Users\Jobanania\AppData\Roaming\m\data.oct
Présent ! C:\Users\Jobanania\AppData\Roaming\m\flec006.exe
Présent ! C:\Users\Jobanania\AppData\Roaming\m\list.oct
Présent ! C:\Users\Jobanania\AppData\Roaming\m\srvlist.oct
Présent ! C:\Users\Jobanania\AppData\Roaming\m\shared

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Jobanania\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 5950d11c | Md5 : 4eb210153803d770ba1d9ca14b306d93

Bagle ! "C:\Users\Jobanania\Desktop\Incoming\MySecurityCenter PC Performance Optimizer 2.0.0.44.zip"
-> Contain patch.exe [806912] | with Bagle Crc32 : 5950d11c


################## | C:\Users\Jobanania\Temporary Internet Files |

Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\C1I427V5\b64[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\C1I427V5\b64_3[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\C1I427V5\b64_6[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\b64_1[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\b64_1[2].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\file[1].txt
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\ieps[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\EBZXVCDN\b64[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\EBZXVCDN\b64_3[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\SQHSWGZS\b64_3[1].jpg
Présent ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\SQHSWGZS\b64_3[2].jpg

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet004\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\Microsoft\Windows\UI] "KEY540534"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\bisoft]
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\DateTime4]
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\FFC]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\patch]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\Local AppWizard-Generated Applications\patch]
Présent ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | ! Fin du rapport # FindyKill V5.002 ! |

Il s'agit de Bagle et cette infection arrive lorsque tu télécharges des cracks ou keygens, je te conseille donc de les supprimer si tu en as encore et eviter dorénavant d'en telecharger pour eviter que cette infection ne se réïtère.


*****************************************************
************* Option 2 (Suppression) *************
*****************************************************


♦ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

♦ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

♦ Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

♦ Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

♦ Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images ( Suppression )

ensuite :

*****************************************************
*************** Option 3 (Uninstal) ****************
*****************************************************

♦ Relance "FindyKill" : au menu principal choisis l'option " F " et tape sur [entrée] .

♦ Au second menu choisis l'option 3 et tape sur [entrée] .

♦ Clique sur ok quand l avertissement apparait.
G3и-н@¢км@и™©®

Ok, c'est bientôt terminé, je poste ça ensuite ;)

############################## | FindyKill V5.002 |

# User : Jobanania (Administrateurs) # PC-DE-JOBANANIA
# Update on 12/06/09 by Chiquitine29
# Start at: 15:03:11 | 16/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 144,04 Go (62,74 Go free) [ACER] # NTFS
# D:\ # Disque fixe local # 140,5 Go (54,85 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Windows\system32\LogonUI.exe
C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
C:\Program Files\Common Files\SPBA\upeksvr.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\Acer\Acer Bio Protection\CompPtcVUI.exe
C:\Program Files\MySecurityCenter\Programs\service.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

################## | C: |

Supprimé ! C:\autorun.inf
Supprimé ! D:\autorun.inf

################## | C:\Windows |


################## | C:\Windows\system32 |

Supprimé ! C:\Windows\system32\mdelk.exe
Supprimé ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |

Supprimé ! C:\Windows\system32\drivers\down

################## | C:\Users\Jobanania\AppData\Roaming |

Supprimé ! C:\Users\Jobanania\AppData\Roaming\drivers\111wfs1intwq.sys
Supprimé ! C:\Users\Jobanania\AppData\Roaming\drivers\11s11ro1s1a2.sys
Supprimé ! C:\Users\Jobanania\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Jobanania\AppData\Roaming\m\data.oct
Supprimé ! C:\Users\Jobanania\AppData\Roaming\m\flec006.exe
Supprimé ! C:\Users\Jobanania\AppData\Roaming\m\list.oct
Supprimé ! C:\Users\Jobanania\AppData\Roaming\m\srvlist.oct
Supprimé ! C:\Users\Jobanania\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Jobanania\AppData\Roaming\drivers
Supprimé ! C:\Users\Jobanania\AppData\Roaming\m\shared
Supprimé ! C:\Users\Jobanania\AppData\Roaming\m

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Jobanania\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 5950d11c | Md5 : 4eb210153803d770ba1d9ca14b306d93

Supprimé ! "C:\Users\Jobanania\Desktop\Incoming\MySecurityCenter PC Performance Optimizer 2.0.0.44.zip"
-> Contain patch.exe [806912] | with Bagle Crc32 : 5950d11c


################## | Temporary Internet Files |

Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\C1I427V5\b64[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\C1I427V5\b64_3[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\C1I427V5\b64_6[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\b64_1[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\b64_1[2].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\file[1].txt
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\D6JUN80V\ieps[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\EBZXVCDN\b64[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\EBZXVCDN\b64_3[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\SQHSWGZS\b64_3[1].jpg
Supprimé ! C:\Users\Jobanania\Local Settings\Temporary Internet Files\Content.IE5\SQHSWGZS\b64_3[2].jpg

################## | Registre / Clés infectieuses |

Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKU\S-1-5-21-3350837367-3430449052-3205711422-1000\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\patch]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | PEH ... |

Corrompu : C:\Program Files\ACE Mega CoDecS Pack\UtilitieS\Remover.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer\Acer Bio Protection\About.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\TaskScheduler.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\TaskScheduler.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Update.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Agatha Christie Death on the Nile\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Alice Greenfingers\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Azada\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Backspin Billiards\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Big Kahuna Reef\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Bricks of Egypt\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Cake Mania\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Chicken Invaders 3\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Diner Dash Flo on the Go\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Jewel Quest Solitaire\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Kick N Rush\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Mahjong Escape Ancient China\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Mahjongg Artifacts\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Mystery Case Files - Huntsville\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Mystery Solitaire - Secret Island\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Turbo Pizza\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Acer GameZone\Zuma Deluxe\Launch.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashAvast.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashChest.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashDisp.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashLogV.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashPopWz.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashQuick.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashServ.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashUpd.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
[Offset = 000000D4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\sched.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\VisthLic.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\VisthUpd.exe
[Offset = 000000F4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Ashampoo\Ashampoo Internet Accelerator 3\ash_updateMediator.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\Mozilla Firefox\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]

Corrompu : C:\Program Files\NewTech Infosystems\NTI Media Maker 8\LiveUpdate\liveupdate.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]


################## | Cracks / Keygens / Serials |

"C:\Users\Jobanania\Downloads\"world_of_warcraft_patch_v2.3.0.7561_francais_180956.exe""
09/04/2009 23:02 |Size 913659862 |Crc32 3c4c170a |Md5 57a1b56d52378968ac348b248b55a696

"C:\Users\Jobanania\Downloads\"world_of_warcraft_patch_v2.4.1.8125_francais_228464.exe""
10/04/2009 00:22 |Size 5365720 |Crc32 83849e1d |Md5 674e9545079baa28ae847240cc49e346


################## | ! Fin du rapport # FindyKill V5.002 ! |