AV et Firewall désactivés, infectionRésolu/Fermé

Question

Bonjour,
J'ai mon antivirus (avast) qui s'est retrouvé désactivé, ainsi que mon firewall,
je suis sous vista sp1.
j'ai tenté d'installé antivir et avg (apres desinstall d'avast), mais j'ai des erreurs !!! donc pas d'installation.
je dois lancer le firwall, manuellement !

J'ai lu plusieurs topics, mais je ne parviens pas à comprendre, j'ai juste téléchargé hijackthis et fais un rapport (et vu que je suis pas callé), I NEED MONEY, heu non HELP !

Voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:44, on 18/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla\Firefox\firefox.exe
C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe
c:\Program Files\Java\jre1.6.0\bin\java.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Goldstreet\Desktop\ijacth.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=4080203
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL (file missing)
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EasyPHP] "C:\Program Files\EasyPHP 2.0b1\EasyPHP.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EasyPHP.lnk = C:\Program Files\EasyPHP1-8\EasyPHP.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

pimprenelle27 · Answer

Bonjour,

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge GenProc sur ton bureau

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.


Voir  comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

goldstreet · Answer

Merci pour la réponse si rapide, 
Premier problème CCLEANER est installé, mais au démarrage de l'aplication, la fenêtre s'ouvre, et se referme instantanément !!!

Que dois-je faire ?

pimprenelle27 · Answer

ah oui la effectivement problème, essaye genproc.

goldstreet · Answer

Voici le rapport Genproc : 

Rapport GenProc 2.565 [1] 
@ 18/05/2009 à 19:31:17 
@ Windows Vista Service Pack 1
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ 

 Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage 

# Etape 3/ 

 Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !" 
- Ensuite poste le rapport C:\FindyKill.txt


----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.565 18/05/2009 à 19:31:10 
Bagle:le 18/05/2009 à 19:31:13 "C:\Users\Goldstreet\AppData\Roaming\drivers" 

Je vois que j'ai cette sal*prie de bagle !
Comment fait t-on pour s'en débarrasser ? Je suis bettement la procédure ?

Merci pour ton aide pimprenelle27

goldstreet · Answer

J'ai suivi les 2 premières étapes de GenProc, voici le rapport :


############################## [ FindyKill V4.728 ]

# User : Goldstreet (Administrateurs) # PC-GOLDSTREET
# Update on 13/05/09 by Chiquitine29
# Start at: 19:48:16 | 18/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) Dual  CPU  E2160  @ 1.80GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 222,77 Go (30,98 Go free) [OS] # NTFS
# D:\ # Disque fixe local # 10 Go (5,98 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM # 661,8 Mo (0 Mo free) [RA1] # CDFS
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# L:\ # Disque fixe local # 37,26 Go (16,14 Go free) [STOREX] # NTFS

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Goldstreet\AppData\Roaming\drivers\winupgro.exe
C:\Users\Goldstreet\AppData\Roaming\m\flec006.exe
C:\Windows\System32\wintems.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla\Firefox\firefox.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
C:\Windows\System32\WScript.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
 
################## [ Processus infectieux stoppés ]  

"C:\Users\Goldstreet\AppData\Roaming\drivers\winupgro.exe"  (3904)
"C:\Users\Goldstreet\AppData\Roaming\m\flec006.exe"  (3952)
"C:\Windows\System32\wintems.exe"  (3968)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\Windows\Prefetch\200414.EXE-04D97B31.pf 
Found ! C:\Windows\Prefetch\208401.EXE-68BCC5DF.pf 
Found ! C:\Windows\Prefetch\305153.EXE-278DC4BF.pf 
Found ! C:\Windows\Prefetch\310941.EXE-499D84E4.pf 
Found ! C:\Windows\Prefetch\323936.EXE-EE5FD07E.pf 
Found ! C:\Windows\Prefetch\326790.EXE-0ECB1999.pf 
Found ! C:\Windows\Prefetch\327992.EXE-5C4AD78C.pf 
Found ! C:\Windows\Prefetch\343732.EXE-4DDC59CA.pf 
Found ! C:\Windows\Prefetch\388317.EXE-2052C6B8.pf 
Found ! C:\Windows\Prefetch\510185.EXE-08CF5B7E.pf 
Found ! C:\Windows\Prefetch\529077.EXE-AC3D7ED0.pf 
Found ! C:\Windows\Prefetch\555597.EXE-27C8BE4E.pf 
Found ! C:\Windows\Prefetch\760676.EXE-54CC7E82.pf 
Found ! C:\Windows\Prefetch\FLEC006.EXE-1B534BE4.pf 
Found ! C:\Windows\Prefetch\FLEC006.EXE-252558B6.pf 
Found ! C:\Windows\Prefetch\INSTALL_PATCH.EXE-13821502.pf 
Found ! C:\Windows\Prefetch\MDELK.EXE-DC6EBAD6.pf 
Found ! C:\Windows\Prefetch\WINTEMS.EXE-72D52E08.pf 
Found ! C:\Windows\system32\ban_list.txt 
Found ! C:\Windows\system32\mdelk.exe 
Found ! C:\Windows\system32\wintems.exe 
Found ! C:\Windows\system32\drivers\down 
Found ! "C:\Users\Goldstreet\AppData\Roaming\drivers" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\drivers\downld" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\drivers\srosa2.sys" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\drivers\wfsintwq.sys" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\drivers\winupgro.exe" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\m" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\m\data.oct" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\m\flec006.exe" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\m\list.oct" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\m\shared" 
Found ! "C:\Users\Goldstreet\AppData\Roaming\m\srvlist.oct" 

################## [ Infected Temp Files ]

Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[3].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[4].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_1[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_1[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_3[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_6[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_6[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\mxd[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_1[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_1[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_3[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_6[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_1[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_3[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_3[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_3[3].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_6[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_6[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\ieps[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64_3[1].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64_3[2].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64_3[3].jpg  
Found ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\file[1].txt  

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\Local AppWizard-Generated Applications\install_patch  
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\Local AppWizard-Generated Applications\winupgro  
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\bisoft  
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\DateTime4  
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\FFC  
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\MuleAppData  
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch  
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S  
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S  
Found ! HKEY_CURRENT_USER\Software\bisoft  
Found ! HKEY_CURRENT_USER\Software\DateTime4  
Found ! HKEY_CURRENT_USER\Software\MuleAppData    
Found ! HKEY_CURRENT_USER\Software\FFC   
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit" 
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit"  
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe" 
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe"  
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key" 
Found ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key"  

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1 

################## [ Recherche dans supports amovibles]

Found ! E:\autorun.inf 

################## [ Registre / Mountpoints2 ]

# -> Not found !  

################## [ ! Fin du rapport # FindyKill V4.728 ! ] 

J'attends donc l'avis d'un spécialiste !
Alors docteur ? c'est grave ?

Merci pour l'aide

pimprenelle27 · Answer

là tu peux faire l'étape 3 sans problème et tu devrais pourvoir faire ccleaner après.

goldstreet · Answer

Merci pimprenelle27 pour ton aide, j'ai pu fixer le probleme avec Findykill installer CCleaner, et Antivirus AVG 8 Free !!!

Mille merci, pour ton aide et surtout ta rapidité !

Ciaooooooooo

pimprenelle27 · Answer

Je peux avoir findykill option 2 ensuite c'est pas fini. il doit rester encore des infection. Fais ceci : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

goldstreet · Answer

voila le deuxieme findykill : 

############################## [ FindyKill V4.728 ]

# User : Goldstreet (Administrateurs) # PC-GOLDSTREET
# Update on 13/05/09 by Chiquitine29
# Start at: 20:17:12 | 18/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) Dual  CPU  E2160  @ 1.80GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 222,77 Go (30,98 Go free) [OS] # NTFS
# D:\ # Disque fixe local # 10 Go (5,98 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM # 661,8 Mo (0 Mo free) [RA1] # CDFS
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# L:\ # Disque fixe local # 37,26 Go (16,14 Go free) [STOREX] # NTFS

############################## [ Active Processes ] 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\svchost.exe
c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\Windows\Prefetch\200414.EXE-04D97B31.pf  
Deleted ! C:\Windows\Prefetch\208401.EXE-68BCC5DF.pf  
Deleted ! C:\Windows\Prefetch\305153.EXE-278DC4BF.pf  
Deleted ! C:\Windows\Prefetch\310941.EXE-499D84E4.pf  
Deleted ! C:\Windows\Prefetch\323936.EXE-EE5FD07E.pf  
Deleted ! C:\Windows\Prefetch\326790.EXE-0ECB1999.pf  
Deleted ! C:\Windows\Prefetch\327992.EXE-5C4AD78C.pf  
Deleted ! C:\Windows\Prefetch\343732.EXE-4DDC59CA.pf  
Deleted ! C:\Windows\Prefetch\388317.EXE-2052C6B8.pf  
Deleted ! C:\Windows\Prefetch\510185.EXE-08CF5B7E.pf  
Deleted ! C:\Windows\Prefetch\529077.EXE-AC3D7ED0.pf  
Deleted ! C:\Windows\Prefetch\555597.EXE-27C8BE4E.pf  
Deleted ! C:\Windows\Prefetch\760676.EXE-54CC7E82.pf  
Deleted ! C:\Windows\Prefetch\FLEC006.EXE-1B534BE4.pf  
Deleted ! C:\Windows\Prefetch\FLEC006.EXE-252558B6.pf  
Deleted ! C:\Windows\Prefetch\INSTALL_PATCH.EXE-13821502.pf  
Deleted ! C:\Windows\Prefetch\MDELK.EXE-DC6EBAD6.pf  
Deleted ! C:\Windows\Prefetch\WINTEMS.EXE-72D52E08.pf  
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-7ACBB0D7.pf  
Deleted ! C:\Windows\system32\ban_list.txt  
Deleted ! C:\Windows\system32\mdelk.exe  
Deleted ! C:\Windows\system32\wintems.exe  
Deleted ! C:\Windows\system32\drivers\down  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\drivers\srosa2.sys"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\drivers\wfsintwq.sys"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\drivers\winupgro.exe"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\m\data.oct"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\m\flec006.exe"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\m\list.oct"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\m\srvlist.oct"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\drivers\downld"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\drivers"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\m\shared"  
Deleted ! "C:\Users\Goldstreet\AppData\Roaming\m"  

################## [ Infected Temp Files ]

Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[3].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64[4].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_1[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_1[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_3[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_6[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\b64_6[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\27MDY2HR\mxd[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_1[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_1[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_3[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\4ZX61S8E\b64_6[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_1[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_3[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_3[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_3[3].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_6[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\b64_6[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\ODXIX1I7\ieps[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64_3[1].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64_3[2].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\b64_3[3].jpg  
Deleted ! C:\Users\Goldstreet\Local Settings\Temporary Internet Files\Content.IE5\RMNYJHMF\file[1].txt  

################## [ Registry / Infected keys ] 

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa   
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s   
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S   
Deleted ! HKEY_CURRENT_USER\Software\bisoft   
Deleted ! HKEY_CURRENT_USER\Software\DateTime4   
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData     
Deleted ! HKEY_CURRENT_USER\Software\FFC    
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch   
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\FFC   
Deleted ! HKEY_USERS\S-1-5-21-4190131776-2371767023-4185086640-1000\Software\MuleAppData   
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"drvsyskit"  
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"german.exe"  
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mule_st_key"  

################## [ Cleaning Removable drives ] 

(!) Not deleted ! E:\autorun.inf 

################## [ Registry / Mountpoint2 ]

# -> Not found !  

################## [ States / Restarting of services ]  

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3  
# EapHost -> # Type of startup =2  
# Wlansvc -> # Type of startup =2  
# SharedAccess -> # Type of startup =2  
# wuauserv -> # Type of startup =2  
# wscsvc -> # Type of startup =2  
# WinDefend -> # Type of startup =2  
# -> UAC is Enable.  

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\Goldstreet\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 52feb486
MD5 .... : cd151d780a3aadfa99ccf2b1069adb52 
 
Suspect ! : C:\Windows\System32\config\systemprofile\AppData\Roaming\drivers\downld\343732.exe
# Taille : 878596 # MD5 : 1442D66C31D85D54A23D8624745975E2
File was renamed : 343732.exe.REN

 
################## [ Corrupted files # Re-Installation required ] 
 
C:\Program Files\PeerGuardian2\pg2.exe
C:\Westwood\Internetegister.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! End of Report # FindyKill V4.728 ! ]

actuellement je fait un scan AVG !
Merci

pimprenelle27 · Answer

Ensuite le malawre STP.

goldstreet · Answer

voila le rapport malware, mais j'ai fais un scan AVG avant qui m'a supprimé des virus,
Malware (après 4h de recherche :) : 

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2148
Windows 6.0.6001 Service Pack 1

19/05/2009 03:40:25
mbam-log-2009-05-19 (03-40-25).txt

Type de recherche: Examen complet (C:\|D:\|G:\|H:\|I:\|J:\|L:\|)
Eléments examinés: 426831
Temps écoulé: 4 hour(s), 22 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




AVG antivirus : 

"L'Analyse ""Analyse complète"" est terminée."
"Infections";"12";"12";"0"
"Avertissements";"10"
"Informations";"2"
"Dossiers sélectionnés pour l'analyse :";"Analyse complète"
"Analyse démarrée :";"lundi 18 mai 2009, 21:12:45"
"Analyse terminée :";"lundi 18 mai 2009, 23:36:35 (2 heure(s) 23 minute(s) 50 seconde(s))"
"Total des objets analysés :";"1031174"
"Utilisateur ayant exécuté l'analyse :";"shiva"

"Infections"
"Fichier";"Infection";"Résultat"
"C:\Dell\E-Center\EULALauncher.exe";"Cheval de Troie : SHeur2.AFYS";"Placé en quarantaine"
"C:\Windows\spoolsv.exe";"Cheval de Troie : Downloader.Generic8.ACSM";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JWLYMTUO\b64_3[1].jpg";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M821EKYW\b64_1[1].jpg";"Virus identifié Win32/Themida";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OYURYSQI\b64_3[1].jpg";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OYURYSQI\b64_6[1].jpg";"Cheval de Troie : Generic12.BHJP";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TQL6PNA4\b64[1].jpg";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Roaming\drivers\downld\208401.exe";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Roaming\drivers\downld\327992.exe";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Roaming\drivers\downld\593459.exe";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Roaming\drivers\winupgro.exe";"Cheval de Troie : SHeur2.AFYS";"Placé en quarantaine"
"C:\Windows\System32\config\systemprofile\AppData\Roaming\m\flec006.exe";"Virus identifié I-Worm/Bagle";"Placé en quarantaine"

Merci, bonne nuit !

pimprenelle27 · Answer

ok ensuite fais moi ceci : 

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

goldstreet · Answer

bonjour,
Le scan est en route, ceci dit, il y a quelques chose d'étrange, il a scanné la mémoire, le registre, mais dans les documents : le chemin en est à : c:\documents and settings\all users\application data\application data\application data\fichier...

j'ai tenté d'accéder à ce chemin, mais il n'y a même pas application data dans all users !

je suis sous vista sp1 32bytes, est-ce normal ?

sinon, je remarque que le navigateur mais du temps à se lancer, avant l'infection, il se lançait en une ou deux secondes !

les perfs sont IP dual 1.80GHz, 3Go de ram.

Merci pour ton aide.

PS: entre nous à part le fait qu'il y ait des images sur le tuto indiqué, le tiens est beaucoup plus précis :D !

goldstreet · Answer

ca fait 3heure que SAS tourne, et je vois que c'est toujours les mêmes fichiers qu'il scan !
J'ai donc mis un terme au scan, et relancé un nouveau !
mais je pense que le problème va persisté !

pimprenelle27 · Answer

si normalement tu devrait avoir c:\documents and settings\all users\application data\

goldstreet · Answer

c:\documents and settings\all users\ oui, mais application\ data non 
et encore moins c:\documents and settings\all users\application data\application data\application data\application data\ 
j'ai les fichiers masqués pourtant,

Ce qui est bizarre c'est que c:\documents and settings\ n'est pas accessible (accès refusé) ainsi que c:\documents and settings\all users\ alors que c:\documents and settings\all users\ l"est !

A tu une idée ou un autre antispyware ? comme search and destroy ?

Merci

goldstreet · Answer

aujourd'hui en resultat de scan 254 virus trouvés, tous dans C:\Windows\System32\config\systemprofile\AppData\Roaming\m\shared.

c'est journée portes ouvertes !

d'ou je me fais infecter ?

Me faut plus d'aide pour comprendre, s'il te plait !

pimprenelle27 · Answer

avec quoi les 254 virus trouvés? et SAS il tourne?

goldstreet · Answer

avec AVG8 free, SAS scanne correctement la mémoire et le registre mais il boucle étrangement dans les fichiers comme je te l'ai dit plus haut.

pimprenelle27 · Answer

ok c'est pas grave pour SAS

Fais moi ceci : 


désactiver L'UAC avant utilisation de UsbFix.

Voici un tuto : http://pagesperso-orange.fr/FindyKill.Ad.Remover/uac_vista.html



Telecharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

goldstreet.org · Answer

Penses-tu que mon pc est désinfecté ?

pimprenelle27 · Answer

et USB fix?

AV et Firewall désactivés, infection

22 réponses

Discussions similaires

Newsletters