Infercté par le virus BDS/BIFROST.37245
Résolu/Fermé
A voir également:
- Infercté par le virus BDS/BIFROST.37245
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
34 réponses
Utilisateur anonyme
29 juin 2009 à 15:27
29 juin 2009 à 15:27
helllo :)
######## | XP _ Instal & recherche | #######
Telecharge et install UsbFix (de C_XX & Chiquitine29)
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau .
# Choisi l option 1 ( Recherche )
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
######## | XP _ Instal & recherche | #######
Telecharge et install UsbFix (de C_XX & Chiquitine29)
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau .
# Choisi l option 1 ( Recherche )
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Utilisateur anonyme
29 juin 2009 à 16:51
29 juin 2009 à 16:51
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
>> Reviens sur le forum, et
copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour
les sources de données externes: clé USB, disque dur externe, etc..., dois-je les brancher aussi au pc avant l'éxecution du Combofix ?
les sources de données externes: clé USB, disque dur externe, etc..., dois-je les brancher aussi au pc avant l'éxecution du Combofix ?
Utilisateur anonyme
30 juin 2009 à 17:06
30 juin 2009 à 17:06
bonjour
oui
oui
bonjour
je m'execuxe pour avoir prés tout ce temps à réagir, le pc est au travail, donc je devai d'abord faire sauvegarde de tout les dossiers, aujourd'hui j'ai éxecuté Combofix, voila le rapport:
ComboFix 09-06-28.06 - Administrateur 11/07/2009 8:30.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.503.305 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.
- Mode FONCTIONNALITES REDUITES -
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\program files\Bifrost
c:\program files\Bifrost\logg.dat
c:\program files\bifrost\server.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-06-11 au 2009-07-11 ))))))))))))))))))))))))))))))))))))
.
2009-07-11 07:24 . 2009-07-11 07:27 62273 ----a-w- c:\windows\system32\winxp.exe
2009-07-04 07:11 . 2009-07-04 07:11 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2009-07-01 10:23 . 2009-07-01 10:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-07-01 10:23 . 2009-07-01 10:23 -------- d-----w- c:\program files\Avira
2009-06-28 08:17 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-06-28 08:17 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\dllcache\mouhid.sys
2009-06-22 14:23 . 2009-06-22 14:23 239088 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-11 07:32 . 2009-07-11 07:32 -------- d-----w- c:\program files\Bifrost
2009-07-11 07:32 . 2009-07-01 10:20 25024 ----a-w- c:\documents and settings\Administrateur\Application Data\addons.dat
2009-07-11 07:25 . 2009-07-11 07:25 25024 ----a-w- c:\documents and settings\LocalService\Application Data\addons.dat
2009-06-29 09:53 . 2009-03-14 11:22 -------- d-----r- c:\program files\Skype
2009-06-29 09:53 . 2008-06-11 11:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-06-29 09:49 . 2008-06-11 11:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"RTEGPRS"="c:\program files\Fichiers communs\SmartCom\RTEGPRS.exe" [2005-04-21 2371584]
"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-01-05 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-09-30 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-09-30 126976]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-03-28 198160]
"regdiit"="c:\windows\system32\winxp.exe" [2009-07-11 62273]
"MAKTray"="MAKTray.exe" - c:\windows\MAKTray.exe [2004-08-27 287232]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
S3 usb2vcom;USB Data Cable;c:\windows\system32\drivers\usb2vcom.sys [15/02/2009 09:05 28704]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}]
\Shell\AutoRun\command - E:\2u.com
\Shell\explore\Command - E:\2u.com
\Shell\open\Command - E:\2u.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}]
\Shell\AutoRun\command - E:\lqbuze.exe
\Shell\explore\Command - E:\lqbuze.exe
\Shell\open\Command - E:\lqbuze.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}]
\Shell\AutoRun\command - E:\sm.exe
\Shell\open\Command - E:\sm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9D71D88C-C598-4935-C5D1-43AA4DB90836}]
c:\program files\Bifrost\server.exe s
.
Contenu du dossier 'Tâches planifiées'
2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3905612227-3240474233-3317906568-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-01-05 14:10]
2009-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3905612227-3240474233-3317906568-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-01-05 14:10]
2009-07-11 c:\windows\Tasks\User_Feed_Synchronization-{CA4EA95C-853D-4008-A252-DB6A3CE2E5AF}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = 10.16.1.11:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath -
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-11 08:32
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3905612227-3240474233-3317906568-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6e,9c,0b,52,99,70,89,4a,8a,f5,2c,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6e,9c,0b,52,99,70,89,4a,8a,f5,2c,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2516)
c:\windows\system32\shdoclc.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\MAKHkey.exe
c:\windows\system32\rundll32.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-07-11 8:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-11 07:34
Avant-CF: 70 796 406 784 octets libres
Après-CF: 71 334 100 992 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
158 --- E O F --- 2009-03-15 12:33
je crois que le virus est toujours en vie.
merci.
je m'execuxe pour avoir prés tout ce temps à réagir, le pc est au travail, donc je devai d'abord faire sauvegarde de tout les dossiers, aujourd'hui j'ai éxecuté Combofix, voila le rapport:
ComboFix 09-06-28.06 - Administrateur 11/07/2009 8:30.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.503.305 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.
- Mode FONCTIONNALITES REDUITES -
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\program files\Bifrost
c:\program files\Bifrost\logg.dat
c:\program files\bifrost\server.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-06-11 au 2009-07-11 ))))))))))))))))))))))))))))))))))))
.
2009-07-11 07:24 . 2009-07-11 07:27 62273 ----a-w- c:\windows\system32\winxp.exe
2009-07-04 07:11 . 2009-07-04 07:11 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2009-07-01 10:23 . 2009-07-01 10:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-07-01 10:23 . 2009-07-01 10:23 -------- d-----w- c:\program files\Avira
2009-06-28 08:17 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-06-28 08:17 . 2001-08-23 16:04 12288 ----a-w- c:\windows\system32\dllcache\mouhid.sys
2009-06-22 14:23 . 2009-06-22 14:23 239088 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-11 07:32 . 2009-07-11 07:32 -------- d-----w- c:\program files\Bifrost
2009-07-11 07:32 . 2009-07-01 10:20 25024 ----a-w- c:\documents and settings\Administrateur\Application Data\addons.dat
2009-07-11 07:25 . 2009-07-11 07:25 25024 ----a-w- c:\documents and settings\LocalService\Application Data\addons.dat
2009-06-29 09:53 . 2009-03-14 11:22 -------- d-----r- c:\program files\Skype
2009-06-29 09:53 . 2008-06-11 11:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-06-29 09:49 . 2008-06-11 11:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"RTEGPRS"="c:\program files\Fichiers communs\SmartCom\RTEGPRS.exe" [2005-04-21 2371584]
"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-01-05 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-09-30 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-09-30 126976]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-03-28 198160]
"regdiit"="c:\windows\system32\winxp.exe" [2009-07-11 62273]
"MAKTray"="MAKTray.exe" - c:\windows\MAKTray.exe [2004-08-27 287232]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
S3 usb2vcom;USB Data Cable;c:\windows\system32\drivers\usb2vcom.sys [15/02/2009 09:05 28704]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}]
\Shell\AutoRun\command - E:\2u.com
\Shell\explore\Command - E:\2u.com
\Shell\open\Command - E:\2u.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}]
\Shell\AutoRun\command - E:\lqbuze.exe
\Shell\explore\Command - E:\lqbuze.exe
\Shell\open\Command - E:\lqbuze.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}]
\Shell\AutoRun\command - E:\sm.exe
\Shell\open\Command - E:\sm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9D71D88C-C598-4935-C5D1-43AA4DB90836}]
c:\program files\Bifrost\server.exe s
.
Contenu du dossier 'Tâches planifiées'
2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3905612227-3240474233-3317906568-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-01-05 14:10]
2009-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3905612227-3240474233-3317906568-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-01-05 14:10]
2009-07-11 c:\windows\Tasks\User_Feed_Synchronization-{CA4EA95C-853D-4008-A252-DB6A3CE2E5AF}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = 10.16.1.11:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath -
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-11 08:32
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-3905612227-3240474233-3317906568-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6e,9c,0b,52,99,70,89,4a,8a,f5,2c,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6e,9c,0b,52,99,70,89,4a,8a,f5,2c,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2516)
c:\windows\system32\shdoclc.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\MAKHkey.exe
c:\windows\system32\rundll32.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-07-11 8:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-11 07:34
Avant-CF: 70 796 406 784 octets libres
Après-CF: 71 334 100 992 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
158 --- E O F --- 2009-03-15 12:33
je crois que le virus est toujours en vie.
merci.
Utilisateur anonyme
13 juil. 2009 à 08:32
13 juil. 2009 à 08:32
bonjour oui effectivement
*****************************************************
************** Option 1 (Recherche) **************
*****************************************************
Télécharge FindyKill (de Chiquitine29 et C_XX) sur ton bureau :
! Déconnecte toi et ferme toutes applications en cours !
* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
*****************************************************
************** Option 1 (Recherche) **************
*****************************************************
Télécharge FindyKill (de Chiquitine29 et C_XX) sur ton bureau :
! Déconnecte toi et ferme toutes applications en cours !
* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
neomatrix09
Messages postés
47
Date d'inscription
samedi 11 juillet 2009
Statut
Membre
Dernière intervention
8 décembre 2009
8
13 juil. 2009 à 16:25
13 juil. 2009 à 16:25
au cours d'exécution de Findnkill, 02 fois avira m'alerte sur la présence de :
VBS/Autorun.ha dans E:\winfile.jpg
j'ai cliké sur "ne pa autoriser", parceque Findnkill s'est arreté pendant plus de 30 minutes, et n'a poursuit son travail qu'aprés le clic.
voici le rapport:
############################## | FindyKill V6.005 |
# User : Administrateur (Administrateurs) # LÉO
# Update on 11/07/09 by Chiquitine29 & C_XX
# Start at: 12:12:03 | 13/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# C:\ # Disque fixe local # 74,52 Go (66,18 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,87 Go (1,59 Go free) [ALIO] # FAT
# F:\ # Disque amovible # 242,12 Mo (50,94 Mo free) # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\MAKTray.exe
C:\WINDOWS\MAKHKEY.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Registre Startup |
R1 - HKCU\..\Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
R1 - HKCU\..\Main: "Start Page"="about:blank"
R1 - HKCU\..\Main: "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
R1 - HKCU\..\Main: "Start Page Redirect Cache_TIMESTAMP"=hex:b4,f9,62,1f,03,f7,c9,01
R1 - HKCU\..\Main: "Start Page Redirect Cache AcceptLangs"="fr"
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="administrateur"
F2 - HKLM\..\logon:"AltDefaultUserName"="administrateur"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
04 - HKLM\..\Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
04 - HKLM\..\Run: MAKTray=MAKTray.exe
04 - HKLM\..\Run: SetRefresh=C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
04 - HKLM\..\Run: IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
04 - HKLM\..\Run: MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
04 - HKLM\..\Run: PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
04 - HKLM\..\Run: PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
04 - HKLM\..\Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
04 - HKLM\..\Run: BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
04 - HKLM\..\Run: WellPhone DirectSync - ScheduleSync=C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
04 - HKLM\..\Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
04 - HKLM\..\Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
04 - HKLM\..\Run: regdiit=C:\WINDOWS\system32\winxp.exe
04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\Run: RTEGPRS="C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe" tray
04 - HKCU\..\Run: Google Update="C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |
################## | All Drives ... |
Présent ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}
Shell\AutoRun\command =E:\2u.com
Shell\explore\Command =E:\2u.com
Shell\open\Command =E:\2u.com
HKCU\..\..\Explorer\MountPoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}
Shell\AutoRun\command =E:\lqbuze.exe
Shell\explore\Command =E:\lqbuze.exe
Shell\open\Command =E:\lqbuze.exe
HKCU\..\..\Explorer\MountPoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}
Shell\AutoRun\command =E:\sm.exe
Shell\open\Command =E:\sm.exe
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.005 ! |
VBS/Autorun.ha dans E:\winfile.jpg
j'ai cliké sur "ne pa autoriser", parceque Findnkill s'est arreté pendant plus de 30 minutes, et n'a poursuit son travail qu'aprés le clic.
voici le rapport:
############################## | FindyKill V6.005 |
# User : Administrateur (Administrateurs) # LÉO
# Update on 11/07/09 by Chiquitine29 & C_XX
# Start at: 12:12:03 | 13/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# C:\ # Disque fixe local # 74,52 Go (66,18 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,87 Go (1,59 Go free) [ALIO] # FAT
# F:\ # Disque amovible # 242,12 Mo (50,94 Mo free) # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\MAKTray.exe
C:\WINDOWS\MAKHKEY.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Registre Startup |
R1 - HKCU\..\Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
R1 - HKCU\..\Main: "Start Page"="about:blank"
R1 - HKCU\..\Main: "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
R1 - HKCU\..\Main: "Start Page Redirect Cache_TIMESTAMP"=hex:b4,f9,62,1f,03,f7,c9,01
R1 - HKCU\..\Main: "Start Page Redirect Cache AcceptLangs"="fr"
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="administrateur"
F2 - HKLM\..\logon:"AltDefaultUserName"="administrateur"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
04 - HKLM\..\Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
04 - HKLM\..\Run: MAKTray=MAKTray.exe
04 - HKLM\..\Run: SetRefresh=C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
04 - HKLM\..\Run: IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
04 - HKLM\..\Run: MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
04 - HKLM\..\Run: PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
04 - HKLM\..\Run: PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
04 - HKLM\..\Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
04 - HKLM\..\Run: BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
04 - HKLM\..\Run: WellPhone DirectSync - ScheduleSync=C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
04 - HKLM\..\Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
04 - HKLM\..\Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
04 - HKLM\..\Run: regdiit=C:\WINDOWS\system32\winxp.exe
04 - HKLM\..\Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\Run: RTEGPRS="C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe" tray
04 - HKCU\..\Run: Google Update="C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |
################## | All Drives ... |
Présent ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}
Shell\AutoRun\command =E:\2u.com
Shell\explore\Command =E:\2u.com
Shell\open\Command =E:\2u.com
HKCU\..\..\Explorer\MountPoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}
Shell\AutoRun\command =E:\lqbuze.exe
Shell\explore\Command =E:\lqbuze.exe
Shell\open\Command =E:\lqbuze.exe
HKCU\..\..\Explorer\MountPoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}
Shell\AutoRun\command =E:\sm.exe
Shell\open\Command =E:\sm.exe
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.005 ! |
Utilisateur anonyme
13 juil. 2009 à 16:31
13 juil. 2009 à 16:31
*****************************************************
************* Option 2 (Suppression) *************
*****************************************************
! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
* Le pc va redémarrer automatiquement ...
--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
************* Option 2 (Suppression) *************
*****************************************************
! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
* Le pc va redémarrer automatiquement ...
--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
Utilisateur anonyme
13 juil. 2009 à 17:21
13 juil. 2009 à 17:21
oui ignore c'est normal
voila le rapport:
############################## | FindyKill V6.005 |
# User : Administrateur (Administrateurs) # LÉO
# Update on 11/07/09 by Chiquitine29 & C_XX
# Start at: 16:06:33 | 13/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# C:\ # Disque fixe local # 74,52 Go (66,19 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,87 Go (1,59 Go free) [ALIO] # FAT
# F:\ # Disque amovible # 242,12 Mo (50,94 Mo free) # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |
################## | All Drives ... |
Supprimé ! E:\winfile.jpg
Supprimé ! F:\winfile.jpg
Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665
################## | Autres ... |
################## | Registre # Clés Run infectieuses |
Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
Supprimé ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
Supprimé ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe
# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !
################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[18/05/2009 09:24|--a------|212] - C:\Boot.bak
[11/07/2009 08:29|-rahs----|282] - C:\boot.ini
[05/08/2004 03:00|-rahs----|4952] - C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] - C:\cmldr
[11/07/2009 08:34|--a------|9769] - C:\ComboFix.txt
[13/07/2009 16:27|--a------|3238] - C:\FindyKill.txt
[?|?|?] - C:\hiberfil.sys
[08/06/2008 10:41|-rahs----|0] - C:\IO.SYS
[08/06/2008 10:41|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 03:00|-rahs----|47564] - C:\NTDETECT.COM
[05/08/2004 03:00|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[04/06/2008 14:34|--a------|11879] - E:\maitres chiens.docx
[24/10/2007 14:10|--a------|280418] - E:\AGENT.01....õõ..xlsx
[28/06/2008 15:42|--a------|56832] - E:\adresse[1].doc
[14/06/2008 15:38|--a------|23753] - E:\Les ‚volutions dans les structures de production ne peuvent ˆtre laiss‚es au bon vouloir des.docx
[17/05/2008 10:13|--a------|4599609] - E:\15052008.pdf
[12/07/2008 10:50|--a------|200192] - E:\plan formation.doc
[18/06/2008 15:28|--a------|10373] - E:\Compte rendu.docx
[21/04/2008 15:10|--a------|23418] - E:\bilan2.docx
[27/05/2008 15:31|--a------|20480] - E:\lettre TEL.doc
[28/05/2008 10:46|--a------|30208] - E:\LISTE DES AGENTS CONCORDATAIRES RETRAITES.doc
[29/03/2008 10:13|--a------|821760] - E:\tarif2008.xls
[04/12/2006 11:38|--a------|10752] - E:\tunisie .doc.doc
[10/12/2006 12:49|--a------|37376] - E:\f.doc.doc
[27/05/2008 15:14|--a------|29184] - E:\LISTE DES AGENTS CONCORDATAIRES formation.doc
[10/03/2008 16:39|--a------|12189] - E:\pv concours.docx
[17/07/2008 13:20|--a------|113922] - E:\img064.jpg
[17/07/2008 13:21|--a------|129907] - E:\img065.jpg
[17/07/2008 13:00|--a------|146702] - E:\img063.jpg
[14/07/2008 15:51|--a------|55216] - E:\SAMEH.ATS.docx
[11/07/2009 16:22|--ah-----|5220] - F:\audio_play_list.txt
[17/10/2007 12:27|--a------|541] - F:\D‚mineur.lnk
[06/02/2009 15:40|--a------|449899] - F:\Photo 0010.jpg
[06/04/2009 10:30|--a------|178688] - F:\Etat r‚capitulatif.doc
[06/04/2009 10:40|--a------|715776] - F:\Dup(1)pv final AC 2008.doc
[12/06/2009 20:06|--a------|3596328] - F:\OppRecv00.tmp
[30/06/2009 10:23|--a------|1776884] - F:\OppRecv01.tmp
[06/07/2009 12:45|--a------|1532448] - F:\00000000001.mp3
[18/03/2009 09:55|---h-----|139776] - F:\~WRL1719.tmp
[05/04/2009 11:31|--a------|611328] - F:\pv final AC 2008.doc
[05/04/2009 11:37|--a------|322048] - F:\PV FINAL OC 2008.doc
[05/04/2009 11:36|--a------|243200] - F:\PV FINAL OB 2008.doc
[15/06/2008 12:34|--a------|22311160] - F:\antivir_workstation_winu_en_h.exe
[11/04/2009 14:54|--a------|30837] - F:\Etat r‚capitulatif formation.docx
[11/04/2009 14:42|--a------|107008] - F:\PV FINAL OB.doc
[11/04/2009 15:09|--a------|141312] - F:\Etat r‚capitulatif formation.doc
[12/04/2009 10:42|--a------|22528] - F:\SNC FrŠres.doc
[06/04/2009 10:30|--a------|178688] - F:\????????.doc
[05/05/2009 15:32|--a------|97280] - F:\recours externe 2008.doc
[12/05/2009 15:13|--a------|133120] - F:\Liste des inscrits … la formation des motocyclistes.doc
[12/05/2009 15:19|--a------|75776] - F:\Liste des inscrits … la formation des maŒtres chiens.doc
[24/05/2009 15:17|--a------|296] - F:\WMPInfo.xml
[04/05/2009 09:41|--a------|3954816] - F:\mwlai.mp3.mp3
[31/05/2009 08:40|--a------|2065134] - F:\alkorsi-ajmi.ra.ram
################## | Vaccination |
# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# F:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
################## | Etat / Services / Informations |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.005 ! |
############################## | FindyKill V6.005 |
# User : Administrateur (Administrateurs) # LÉO
# Update on 11/07/09 by Chiquitine29 & C_XX
# Start at: 16:06:33 | 13/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]
# C:\ # Disque fixe local # 74,52 Go (66,19 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,87 Go (1,59 Go free) [ALIO] # FAT
# F:\ # Disque amovible # 242,12 Mo (50,94 Mo free) # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |
################## | All Drives ... |
Supprimé ! E:\winfile.jpg
Supprimé ! F:\winfile.jpg
Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! F:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665
################## | Autres ... |
################## | Registre # Clés Run infectieuses |
Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
Supprimé ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
Supprimé ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe
# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !
################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{3d4b8d62-5d97-11de-aabd-000ffe286e54}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c1956cde-4d91-11dd-a97e-000ffe286e54}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ef81a086-f5c6-11dd-aa3b-001167559222}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f0e0dace-58ce-11de-aab8-000ffe286e54}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[18/05/2009 09:24|--a------|212] - C:\Boot.bak
[11/07/2009 08:29|-rahs----|282] - C:\boot.ini
[05/08/2004 03:00|-rahs----|4952] - C:\Bootfont.bin
[03/08/2004 23:00|--a------|263488] - C:\cmldr
[11/07/2009 08:34|--a------|9769] - C:\ComboFix.txt
[13/07/2009 16:27|--a------|3238] - C:\FindyKill.txt
[?|?|?] - C:\hiberfil.sys
[08/06/2008 10:41|-rahs----|0] - C:\IO.SYS
[08/06/2008 10:41|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 03:00|-rahs----|47564] - C:\NTDETECT.COM
[05/08/2004 03:00|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[04/06/2008 14:34|--a------|11879] - E:\maitres chiens.docx
[24/10/2007 14:10|--a------|280418] - E:\AGENT.01....õõ..xlsx
[28/06/2008 15:42|--a------|56832] - E:\adresse[1].doc
[14/06/2008 15:38|--a------|23753] - E:\Les ‚volutions dans les structures de production ne peuvent ˆtre laiss‚es au bon vouloir des.docx
[17/05/2008 10:13|--a------|4599609] - E:\15052008.pdf
[12/07/2008 10:50|--a------|200192] - E:\plan formation.doc
[18/06/2008 15:28|--a------|10373] - E:\Compte rendu.docx
[21/04/2008 15:10|--a------|23418] - E:\bilan2.docx
[27/05/2008 15:31|--a------|20480] - E:\lettre TEL.doc
[28/05/2008 10:46|--a------|30208] - E:\LISTE DES AGENTS CONCORDATAIRES RETRAITES.doc
[29/03/2008 10:13|--a------|821760] - E:\tarif2008.xls
[04/12/2006 11:38|--a------|10752] - E:\tunisie .doc.doc
[10/12/2006 12:49|--a------|37376] - E:\f.doc.doc
[27/05/2008 15:14|--a------|29184] - E:\LISTE DES AGENTS CONCORDATAIRES formation.doc
[10/03/2008 16:39|--a------|12189] - E:\pv concours.docx
[17/07/2008 13:20|--a------|113922] - E:\img064.jpg
[17/07/2008 13:21|--a------|129907] - E:\img065.jpg
[17/07/2008 13:00|--a------|146702] - E:\img063.jpg
[14/07/2008 15:51|--a------|55216] - E:\SAMEH.ATS.docx
[11/07/2009 16:22|--ah-----|5220] - F:\audio_play_list.txt
[17/10/2007 12:27|--a------|541] - F:\D‚mineur.lnk
[06/02/2009 15:40|--a------|449899] - F:\Photo 0010.jpg
[06/04/2009 10:30|--a------|178688] - F:\Etat r‚capitulatif.doc
[06/04/2009 10:40|--a------|715776] - F:\Dup(1)pv final AC 2008.doc
[12/06/2009 20:06|--a------|3596328] - F:\OppRecv00.tmp
[30/06/2009 10:23|--a------|1776884] - F:\OppRecv01.tmp
[06/07/2009 12:45|--a------|1532448] - F:\00000000001.mp3
[18/03/2009 09:55|---h-----|139776] - F:\~WRL1719.tmp
[05/04/2009 11:31|--a------|611328] - F:\pv final AC 2008.doc
[05/04/2009 11:37|--a------|322048] - F:\PV FINAL OC 2008.doc
[05/04/2009 11:36|--a------|243200] - F:\PV FINAL OB 2008.doc
[15/06/2008 12:34|--a------|22311160] - F:\antivir_workstation_winu_en_h.exe
[11/04/2009 14:54|--a------|30837] - F:\Etat r‚capitulatif formation.docx
[11/04/2009 14:42|--a------|107008] - F:\PV FINAL OB.doc
[11/04/2009 15:09|--a------|141312] - F:\Etat r‚capitulatif formation.doc
[12/04/2009 10:42|--a------|22528] - F:\SNC FrŠres.doc
[06/04/2009 10:30|--a------|178688] - F:\????????.doc
[05/05/2009 15:32|--a------|97280] - F:\recours externe 2008.doc
[12/05/2009 15:13|--a------|133120] - F:\Liste des inscrits … la formation des motocyclistes.doc
[12/05/2009 15:19|--a------|75776] - F:\Liste des inscrits … la formation des maŒtres chiens.doc
[24/05/2009 15:17|--a------|296] - F:\WMPInfo.xml
[04/05/2009 09:41|--a------|3954816] - F:\mwlai.mp3.mp3
[31/05/2009 08:40|--a------|2065134] - F:\alkorsi-ajmi.ra.ram
################## | Vaccination |
# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# F:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
################## | Etat / Services / Informations |
# Mode sans echec : OK
# Affichage des fichiers cachés : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.005 ! |
Utilisateur anonyme
13 juil. 2009 à 17:50
13 juil. 2009 à 17:50
Télécharge OTL de OLDTimer
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant scan all users
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant scan all users
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
au cours du scan OTL affiche le message suivant:
"access violation at address 002F00FB. read of address 00EE70A4"
j'appui sur ''OK''?
"access violation at address 002F00FB. read of address 00EE70A4"
j'appui sur ''OK''?
neomatrix09
Messages postés
47
Date d'inscription
samedi 11 juillet 2009
Statut
Membre
Dernière intervention
8 décembre 2009
8
14 juil. 2009 à 12:41
14 juil. 2009 à 12:41
voila le lien :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijS84txCT.txt
http://www.cijoint.fr/cjlink.php?file=cj200907/cijS84txCT.txt
neomatrix09
Messages postés
47
Date d'inscription
samedi 11 juillet 2009
Statut
Membre
Dernière intervention
8 décembre 2009
8
14 juil. 2009 à 12:49
14 juil. 2009 à 12:49
je crois que mon pc vient d'être infecté par nouveaux virus, trois nouveaux fichiers apparaissent sur le bureau dont leur nom est identiques (les deux premières lettres de chaque nom des fichiers suspects est remplacé par : "~$") à trois fichiers se trouvant sur le bureau aussi.
Utilisateur anonyme
14 juil. 2009 à 12:49
14 juil. 2009 à 12:49
Double clic sur OTL.exe pour le lancer.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans la zone sous Customs Scans/Fixes
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
:OTL
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
:files
C:\Program Files\Bifrost
:commands
[emptytemp]
[start explorer]
[reboot]
Clique sur RunFix pour lancer la suppression.
Poste le rapport.
==========
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans la zone sous Customs Scans/Fixes
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
:OTL
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
:files
C:\Program Files\Bifrost
:commands
[emptytemp]
[start explorer]
[reboot]
Clique sur RunFix pour lancer la suppression.
Poste le rapport.
==========
neomatrix09
Messages postés
47
Date d'inscription
samedi 11 juillet 2009
Statut
Membre
Dernière intervention
8 décembre 2009
8
14 juil. 2009 à 13:07
14 juil. 2009 à 13:07
je cole tout ça :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
:OTL
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
:files
C:\Program Files\Bifrost
:commands
[emptytemp]
[start explorer]
[reboot]
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
:OTL
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
:files
C:\Program Files\Bifrost
:commands
[emptytemp]
[start explorer]
[reboot]
neomatrix09
Messages postés
47
Date d'inscription
samedi 11 juillet 2009
Statut
Membre
Dernière intervention
8 décembre 2009
8
14 juil. 2009 à 13:35
14 juil. 2009 à 13:35
le rapport:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui\ deleted successfully.
C:\WINDOWS\System32\igfxsrvc.dll unregistered successfully.
C:\WINDOWS\System32\igfxsrvc.dll moved successfully.
========== FILES ==========
C:\Program Files\Bifrost moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 1051161 bytes
->Temporary Internet Files folder emptied: 29787302 bytes
->Java cache emptied: 113382425 bytes
->FireFox cache emptied: 75860801 bytes
->Google Chrome cache emptied: 462052778 bytes
User: All Users
User: chaabane
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 4889088 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 657,28 mb
OTL by OldTimer - Version 3.0.7.1 log created on 07142009_123013
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui\ deleted successfully.
C:\WINDOWS\System32\igfxsrvc.dll unregistered successfully.
C:\WINDOWS\System32\igfxsrvc.dll moved successfully.
========== FILES ==========
C:\Program Files\Bifrost moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrateur
->Temp folder emptied: 1051161 bytes
->Temporary Internet Files folder emptied: 29787302 bytes
->Java cache emptied: 113382425 bytes
->FireFox cache emptied: 75860801 bytes
->Google Chrome cache emptied: 462052778 bytes
User: All Users
User: chaabane
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 4889088 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 657,28 mb
OTL by OldTimer - Version 3.0.7.1 log created on 07142009_123013
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
