Sujet Précédent Sujet Suivant

PC et Clé USB infectés par virus ndiect.com

Fermé
romain784 - 1 nov. 2008 à 15:05
 romain784 - 7 nov. 2008 à 14:59
Bonjour,
Depuis plusieurs mois déjà mon disque dur a été touché par un virus,ce qui n'est en soit pas trop grave puisque c'est juste un disque dur de remplacement,je compte en effet m'en acheté un neuf bientôt.Le souci c'est que, outre le fait que le virus ait retiré le son (plus de films, plus de musique...),il a en plus infecté ma clé usb,où je gardetous mes fichiers importants comme mes photos et autres fichiers courants mais que je ne veux pas perdre.
Y a t-il un moyen de récuperer ses données,voire de réparer la clé usb?Je précise que le virus semble se mettre ajour très fréquemment par le biais d'une page web du nom de "ndiect.com".Il serait donc inutile d'acheter une autre clé usb et de transferer les fichiers sur celle-ci,le virus n'aurait aucun mal a la contaminer également.
Merci d'avance
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
1 nov. 2008 à 15:11
bonjour, désinfecte ton pc et tout tes supports amovible avec uSbfix xp poste le rappoert suivi d'un hijackthis, Merci

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

******************************************************************************************

postes un rapport hijackthis

HijackThis est un outil développé par merijn, capable de détecter les composants ajoutés à votre navigateur, les programmes lancés au démarrage du système, etc. Le programme vous permet de consulter tous les éléments et éventuellement de les retirer de l'ordinateur. HijackThis est, par exemple, en mesure de forcer le changement de la page d'accueil. Cette fonction est particulièrement utile lorsque votre navigateur ne vous permet plus de modifier la page d'accueil car un site se l'est appropriée ! Le logiciel peut également enregistrer des paramètres par défaut et ignorer certains éléments définis.

télécharge Hijackthis : http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

.cliques sur download
.cliques sur download Hijackthis installer
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"


si besion d'aide pour l'installation : https://www.androidworld.fr/


des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm



0
Réponse 2 / 29
Julien
1 nov. 2008 à 15:11
Il existe un logiciel du nom de EasyRecovery Professional qui te permettra après une analyse de la totalité des secteurs de ton (tes) disque dur(s) de recuperer tous les fichiers :)

Sauf bien entendu si tu as rempli ton disque dur depuis; tu dois connaitre le systeme : tu copies un film de 700 Mo en 30 secondes, tu l'effaces en 0,001 secondes. En réalité les "0" et les "1" qui composent ton film sont toujours présents sur le disque, simplement l'espace est déclaré "libre" et le systeme d'exploitation peut utiliser cet espace pour réécrire des informations. Mais si tu n'a rien ré écrit par dessus, il t'es possible de tout récupérer :)
Quand un virus efface une partition, la totalité de l'espace disque est déclaré non partitionné, mais les "0" et les "1" de tes fichiers sont toujours là et des logiciels te permettent de tout retrouver après une bonne heure d'analyse (même les noms de fichiers, et le dossier dans lequel ils étaient situés !)

Il doit en exister plusieurs, je sais que normalement EasyRecovery est payant, normalement ^^'

++
0
Réponse 3 / 29
romain784
1 nov. 2008 à 15:26
-------------- UsbFix V2.395 ---------------

* User : romain - CHALDEBA-ABFC1D
* Outils mis a jours le 01/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 15:16:43 le 01/11/2008
* Windows Xp - Internet Explorer 7.0.5730.11


--------------- [ Processus actifs ] ----------------


C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS.0\system32\svchost.exe
C:\DOCUME~1\romain\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS.0\vVX3000.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe


--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

E: - Lecteur amovible


+- Contenu de l'autorun : E:\autorun.inf

[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com

--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VX3000 REG_SZ C:\WINDOWS.0\vVX3000.exe
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
BluetoothAuthenticationAgent REG_SZ rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
Office SturtUp REG_SZ osa9.exe
gfxtray REG_SZ rundll32 ctccw32.dll,findwnd
lphc1fvj0ej1r REG_SZ C:\WINDOWS.0\system32\lphc1fvj0ej1r.exe
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS.0\system32\ctfmon.exe
messengerskinner REG_SZ C:\Program Files\MessengerSkinner\MessengerSkinner.exe
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
gkgqy REG_SZ "c:\documents and settings\romain\local settings\application data\gkgqy.exe" gkgqy

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{af6ca57c-13ca-11dd-8ed7-00112fc90c68}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{af6ca57c-13ca-11dd-8ed7-00112fc90c68}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{af6ca57c-13ca-11dd-8ed7-00112fc90c68}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d39081fe-2fcb-11dd-8f0e-00112fc90c68}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d39081fe-2fcb-11dd-8f0e-00112fc90c68}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d39081fe-2fcb-11dd-8f0e-00112fc90c68}\Shell\open\Command

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [21/06/2008 11:42] E:\autorun.inf
Supprimé ! - [26/05/2006 00:10] E:\nideiect.com
Supprimé ! - [01/11/2008 15:19] E:\autorun.inf

--------------- [ Listing des fichiers présents ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\
0
Réponse 4 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
1 nov. 2008 à 15:36
poste hijackthis et regarde C:\Program Files\MessengerSkinner\MessengerSkinner.exe c'est pas bon du tout pour la bonne marche du pc vériffis dans ajout suppression de programmes si tu le trouve et essais de le supprimer si pas possible essais en mode sans echec, et puis tu passeras un autre outil, sinon comme va ta clé et ton dd évite le double clique pour l'instant clique droit et ouvrir
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
romain784
1 nov. 2008 à 15:55
Impossible d'installer HijackThis, lorsque je lance l'application (double clic, exécuter) une fenêtre apparait bien avec les onglets browse, install et quit, mais elle disparait au bout d'une seconde.En regardant dans l'onglet processus du gestionnaire de tâches, on voit que le processus apparait puis disparait aussi vite,comme si quelque chose l'empêchait de s'ouvrir.
Que dois je faire?
Cependant bon point,j'ai ouvert le dossier de ma clé, et l'îcone de mise à jour du virus, "ndiect.com", n'apparaît plus du tout.La clé serait-elle complètement nettoyée?Ne risque t-elle pas d'être recontaminée, car je n'ai aucun certitude à propos de l'état du disque dur
Merci pour votre aide précieuse fournie jusqu'ici en tout cas =)
0
Réponse 6 / 29
romain784
1 nov. 2008 à 16:20
Sinon, j'ai bien désinstaller MessengerSkinner, je savais pas que ca n'était pas bon pour le PC sa avait pourtant l'air d'un logiciel normal et sérieux.
Similitude avec le fait que HijackThis ne se lance pas, j'avais remarqué il y a plusieurs mois, après l'apparition du virus, qu'il en était de même pour avast et ccleaner: le processus apparaissait, puis disparaissait juste après.
0
Réponse 7 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 10:13
bonjour, si pas moyen de lancer hijackthis c'est qu'il y a encore une salopperie sur le pc essais de passer malwarebytes en mode sans echec

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée,fermes Malwarebytes
. redemarres en mode sans échec pour savoir comment au cas ou tu ne saurrais pas regarde plus bas
. une fois en mode sans echec tu double-cliques sur l'icône de malwarebytes
. une fois ouvert rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré en mode normal double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\



. Cliques sur Démarrer
. Cliques sur Arrêter
. Sélectionnes Redémarrer et au redémarrage
. Appuis sur la touche F8 sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
. Utilises les touches de direction pour sélectionner mode sans échec
. puis appuis sur ENTRÉE
. Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude

tuto:http://www.vista-xp.fr/forum/topic93.html
0
Réponse 8 / 29
romain784
2 nov. 2008 à 12:07
Mauvaise nouvelle: Impossible de redémarrer le PC en mode sans échec.J'arrive a l'écran du mode de démarrage du PC (normal, sans échec, sans échec ac prise en charge réseau...), je choisis bien mode sans échec, il se lance (on voit le chemin d'accès en bas de l'écran), puis, le reboot est activé et le PC se redémarre, pour revenir au même écran de choix du mode de démarrage.J'ai eu beau essayer plusieurs fois, impossible de redémarrer en mode sans échec,seul le mode normal semble accepté.
Dois-je tout de même effectuer l'analyse complète du PC?
0
Réponse 9 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 12:13
oui fait la en mode normal et puis tu essais après pour voir si tu peux redémarrer en mode sans echec
0
Réponse 10 / 29
romain784
2 nov. 2008 à 14:09
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1355
Windows 5.1.2600 Service Pack 2

02/11/2008 13:55:24
mbam-log-2008-11-02 (13-55-24).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 71038
Temps écoulé: 1 hour(s), 7 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 15
Fichier(s) infecté(s): 76

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{95e1d855-9232-48f7-80d9-1adb65b7939c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{95e1d855-9232-48f7-80d9-1adb65b7939c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95e1d855-9232-48f7-80d9-1adb65b7939c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Trojan.Peed) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysrest.sys (Trojan.Peed) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Trojan.Peed) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc5fvj0ej1r (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gkgqy (Adware.Navipromo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc5fvj0ej1r (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1fvj0ej1r (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld (Trojan.Agent) -> Files: 3375 -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\m (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\rhc5fvj0ej1r\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\romain\Local Settings\Application Data\gkgqy_navps.dat (Adware.Navipromo.H) -> Delete on reboot.
C:\Documents and Settings\romain\Local Settings\Application Data\gkgqy_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Application Data\gkgqy.dat (Adware.Navipromo.H) -> Delete on reboot.
C:\Documents and Settings\romain\Local Settings\Application Data\gkgqy.exe (Adware.Navipromo.H) -> Delete on reboot.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\79XXS8A9\uaqrta[1].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\79XXS8A9\uaqrta[2].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\79XXS8A9\uaqrta[3].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\79XXS8A9\uaqrta[4].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\G4TMQW4Z\uaqrta[1].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\G4TMQW4Z\uaqrta[2].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\G4TMQW4Z\uaqrta[3].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\RFR4W7OG\uaqrta[1].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\RFR4W7OG\uaqrta[2].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\YFXJRHKV\uaqrta[1].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\YFXJRHKV\uaqrta[2].jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\AdsCleaner_4.3.19_(KeyGen).exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\XPCOMEvents.dll (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\20D.tmp (Rogue.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\sysrest.sys (Trojan.Peed) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\pphc1fvj0ej1r.exe (Rogue.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\ac62985e.sys (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS.0\system32\drivers\hldrrr.exe (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS.0\system32\drivers\mdelk.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\381890.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\326312.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\14783062.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\206890.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\208906.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\20938796.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\247265.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\313640.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\337093.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\237609.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\14799640.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\29600062.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\261625.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\263609.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\268671.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\14921031.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\downld\331687.exe (Worm.Bagle) -> Quarantined and deleted successfully.
E:\nideiect.com (Trojan.Downloader) -> Delete on reboot.
E:\FOUND.000\FILE0000.CHK (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\FOUND.001\FILE0000.CHK (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\Thumbs.db (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\m\data.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\m\list.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Application Data\m\srvlist.oct (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Documents and Settings\romain\Application Data\m\flec006.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS.0\system32\lphc1fvj0ej1r.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\Setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\sysrest32.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\romain\Local Settings\Temp\.ttC.tmp.vbs (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\etc\services (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.



Lorsque l'examen s'est terminé, j'ai cliqué sur supprimé la sélection, une grande partie à été supprimé mais un message s'est affiché disant que certains fichiers n'avaient pas pu être supprimé et qu'ils étaient mis dans la sélections "à supprimer au redémarrage".Le PC étant redémarré je pense qu'ils ont bien été supprimés,cependant il est toujours impossible de démarrer en mode sans échec.
0
Réponse 11 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 15:23
ok normalement oui si tu l'as redémarré c'est bon , tu ouvres malwarebytes et tu vides la quarantaine tu essais de me poster un hijackthis, Merci
je te mets un liens pour télécharger ce qu'il faut pour réparrer le mode sans echec
0
Réponse 12 / 29
romain784
2 nov. 2008 à 15:31
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:27, on 02/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\vVX3000.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\WINDOWS.0\system32\osa9.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\romain\Bureau\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Program Files\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Program Files\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS.0\vVX3000.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe
O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS.0\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B34D74-56C5-4525-BB00-ACD723E3A199}: NameServer = 80.10.246.2,80.10.246.129
O21 - SSODL: SQGCNGzo - {3409BCF2-9EA3-1658-7B42-E284639AE14B} - C:\WINDOWS.0\system32\kn.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Réponse 13 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 15:35
bon il ya du bagle sur le pc tu vas passer findykill


Télécharge FindyKill (de Chiquitine29)

.Fais un clique droit sur le lien FindyKill

.enregistres le sur bureau

.Lances l'installation avec les paramètres par défaut

.Double-clique sur le raccourci FindyKill sur ton bureau

.Au menu principal, choisis l'option 1 (Recherche)

.Postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

tutoriel si besoin: https://www.malekal.com/tutorial-findykill/

0
Réponse 14 / 29
romain784
2 nov. 2008 à 15:43
----------------- FindyKill V4.095 ------------------

* User : romain - CHALDEBA-ABFC1D
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 31/10/08 par Chiquitine29
* Recherche effectuée à 15:40:13 le 02/11/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\vVX3000.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\WINDOWS.0\system32\osa9.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Windows Live\installer\WLSetupSvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS.0


»»»» Presence des fichiers dans C:\WINDOWS.0\Prefetch

Present ! - C:\WINDOWS.0\prefetch\11351843.EXE-20910245.pf
Present ! - C:\WINDOWS.0\prefetch\11384203.EXE-09C72EF1.pf
Present ! - C:\WINDOWS.0\prefetch\11393453.EXE-25F671AB.pf
Present ! - C:\WINDOWS.0\prefetch\14793359.EXE-05592953.pf
Present ! - C:\WINDOWS.0\prefetch\14795250.EXE-1A6B7132.pf
Present ! - C:\WINDOWS.0\prefetch\14819515.EXE-04B3BD6C.pf
Present ! - C:\WINDOWS.0\prefetch\14844781.EXE-34A4EB5B.pf
Present ! - C:\WINDOWS.0\prefetch\14853796.EXE-113D58E4.pf
Present ! - C:\WINDOWS.0\prefetch\14857953.EXE-22ADA1C4.pf
Present ! - C:\WINDOWS.0\prefetch\14863515.EXE-1366C016.pf
Present ! - C:\WINDOWS.0\prefetch\14876093.EXE-3812BD8F.pf
Present ! - C:\WINDOWS.0\prefetch\14877703.EXE-182F610F.pf
Present ! - C:\WINDOWS.0\prefetch\14879421.EXE-39E79D4D.pf
Present ! - C:\WINDOWS.0\prefetch\14919750.EXE-1FB32E63.pf
Present ! - C:\WINDOWS.0\prefetch\14923125.EXE-1E39245D.pf
Present ! - C:\WINDOWS.0\prefetch\14943562.EXE-10C6C1A6.pf
Present ! - C:\WINDOWS.0\prefetch\14950203.EXE-35E9EA7F.pf
Present ! - C:\WINDOWS.0\prefetch\14953984.EXE-26F4329D.pf
Present ! - C:\WINDOWS.0\prefetch\250890.EXE-2B9773C0.pf
Present ! - C:\WINDOWS.0\prefetch\251015.EXE-0440E8B2.pf
Present ! - C:\WINDOWS.0\prefetch\252953.EXE-14081BC4.pf
Present ! - C:\WINDOWS.0\prefetch\253031.EXE-07EC8E72.pf
Present ! - C:\WINDOWS.0\prefetch\260203.EXE-34FB672E.pf
Present ! - C:\WINDOWS.0\prefetch\263453.EXE-2FCE65D1.pf
Present ! - C:\WINDOWS.0\prefetch\264781.EXE-38C6A30E.pf
Present ! - C:\WINDOWS.0\prefetch\273156.EXE-1FBDA4DF.pf
Present ! - C:\WINDOWS.0\prefetch\279250.EXE-05268B7A.pf
Present ! - C:\WINDOWS.0\prefetch\288015.EXE-0402EDCB.pf
Present ! - C:\WINDOWS.0\prefetch\293343.EXE-2EA1C929.pf
Present ! - C:\WINDOWS.0\prefetch\29390140.EXE-09196BFD.pf
Present ! - C:\WINDOWS.0\prefetch\29415906.EXE-2A02A1FE.pf
Present ! - C:\WINDOWS.0\prefetch\29427546.EXE-12158139.pf
Present ! - C:\WINDOWS.0\prefetch\294390.EXE-1F06002C.pf
Present ! - C:\WINDOWS.0\prefetch\29439890.EXE-18CC5D8E.pf
Present ! - C:\WINDOWS.0\prefetch\29446250.EXE-143EC231.pf
Present ! - C:\WINDOWS.0\prefetch\29447093.EXE-0AD7B56A.pf
Present ! - C:\WINDOWS.0\prefetch\29449437.EXE-38FD554D.pf
Present ! - C:\WINDOWS.0\prefetch\29503406.EXE-31466CB2.pf
Present ! - C:\WINDOWS.0\prefetch\29506375.EXE-15DDE093.pf
Present ! - C:\WINDOWS.0\prefetch\29546234.EXE-1CEC239D.pf
Present ! - C:\WINDOWS.0\prefetch\29556796.EXE-2B481B9E.pf
Present ! - C:\WINDOWS.0\prefetch\29558500.EXE-3222E896.pf
Present ! - C:\WINDOWS.0\prefetch\29566015.EXE-2C1D4F94.pf
Present ! - C:\WINDOWS.0\prefetch\29571687.EXE-2FB9E88E.pf
Present ! - C:\WINDOWS.0\prefetch\315515.EXE-0E99F6E5.pf
Present ! - C:\WINDOWS.0\prefetch\320078.EXE-3211D57C.pf
Present ! - C:\WINDOWS.0\prefetch\332859.EXE-06E35B09.pf
Present ! - C:\WINDOWS.0\prefetch\336562.EXE-02863137.pf
Present ! - C:\WINDOWS.0\prefetch\357859.EXE-139CB292.pf
Present ! - C:\WINDOWS.0\prefetch\36158578.EXE-334E5EA4.pf
Present ! - C:\WINDOWS.0\prefetch\36216250.EXE-03C7A70A.pf
Present ! - C:\WINDOWS.0\prefetch\36227437.EXE-1055255D.pf
Present ! - C:\WINDOWS.0\prefetch\364015.EXE-294804CD.pf
Present ! - C:\WINDOWS.0\prefetch\367593.EXE-05027A73.pf
Present ! - C:\WINDOWS.0\prefetch\373609.EXE-179C01AE.pf
Present ! - C:\WINDOWS.0\prefetch\379781.EXE-1F88F0DC.pf
Present ! - C:\WINDOWS.0\prefetch\413718.EXE-06111903.pf
Present ! - C:\WINDOWS.0\prefetch\417625.EXE-37040FE7.pf
Present ! - C:\WINDOWS.0\prefetch\44146328.EXE-3859304F.pf
Present ! - C:\WINDOWS.0\prefetch\44177671.EXE-05304DB0.pf
Present ! - C:\WINDOWS.0\prefetch\44187015.EXE-3242F35F.pf
Present ! - C:\WINDOWS.0\prefetch\44195281.EXE-189AA5DE.pf
Present ! - C:\WINDOWS.0\prefetch\44743562.EXE-1063BB54.pf
Present ! - C:\WINDOWS.0\prefetch\44746796.EXE-11D44A40.pf
Present ! - C:\WINDOWS.0\prefetch\44776484.EXE-217D1C2C.pf
Present ! - C:\WINDOWS.0\prefetch\44808265.EXE-1173FCEA.pf
Present ! - C:\WINDOWS.0\prefetch\FLEC006.EXE-2881550B.pf
Present ! - C:\WINDOWS.0\prefetch\HLDRRR.EXE-0446E38F.pf
Present ! - C:\WINDOWS.0\prefetch\MDELK.EXE-18C9494E.pf
Present ! - C:\WINDOWS.0\prefetch\MDELK.EXE-392F975F.pf
Present ! - C:\WINDOWS.0\prefetch\WINTEMS.EXE-13A33E82.pf

»»»» Presence des fichiers dans C:\WINDOWS.0\system32

Présent ! [02/11/2008 13:00] - C:\WINDOWS.0\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS.0\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\romain\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\romain\LOCALS~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VX3000 REG_SZ C:\WINDOWS.0\vVX3000.exe
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
BluetoothAuthenticationAgent REG_SZ rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
Office SturtUp REG_SZ osa9.exe
gfxtray REG_SZ rundll32 ctccw32.dll,findwnd
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS.0\system32\ctfmon.exe
drvsyskit REG_SZ C:\WINDOWS.0\system32\drivers\hldrrr.exe
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

--------------- [ Registre / Clés infectieuses ] ----------------


Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\EWZ
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\ffc
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\FirstRRRun
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\muleappdata
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\xew
Présent ! - HKEY_USERS\S-1-5-21-1343024091-1085031214-682003330-1003\Software\XYZ
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\EWZ
Présent ! - HKEY_CURRENT_USER\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\XEW
Présent ! - HKEY_CURRENT_USER\Software\FirtR
Présent ! - HKEY_CURRENT_USER\Software\FirstRRRun
Présent ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

-> Affichage des fichiers cachés non fonctionnel !!



+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

wuauserv - Type de démarrage = 3

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe

E: - Lecteur amovible


+- Contenu de l'autorun : E:\autorun.inf

[AutoRun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com


+- presence des fichiers :

Présent ! [01/11/2008 15:22][---h-----] - E:\autorun.inf


--------------- [ Registre / Moutpoint2 ] ----------------


-> Recherche négative.


------------------- ! Fin du rapport ! --------------------
0
Réponse 15 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 15:47
ok tu vas le relancer et option 2 tu postes le rapport suivi d'un nouveau hijackthis

NETTOYAGE

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


.Relances FindyKill

.Cette fois, choisis l'option 2 (Suppression) au menu principal

.Il y aura 2 redémarrages, laisses le travailler jusqu'à l'apparition du message "nettoyage effectué" !

.Ensuite postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

0
Réponse 16 / 29
romain784
2 nov. 2008 à 16:39
----------------- FindyKill V4.095 ------------------

* User : romain - CHALDEBA-ABFC1D
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 31/10/08 par Chiquitine29
* Suppression effectuée à 16:25:38 le 02/11/2008
* Windows XP - Internet Explorer 7.0.5730.11


((((((((((((((( *** Suppression *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS.0\system32\svchost.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Suppression des fichiers dans C:


»»»» Suppression des fichiers dans C:\WINDOWS.0


»»»» Suppression des fichiers dans C:\WINDOWS.0\Prefetch

Supprimé ! - C:\WINDOWS.0\Prefetch\14844781.EXE-34A4EB5B.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14879421.EXE-39E79D4D.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\253031.EXE-07EC8E72.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\264781.EXE-38C6A30E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\379781.EXE-1F88F0DC.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44177671.EXE-05304DB0.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44195281.EXE-189AA5DE.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14943562.EXE-10C6C1A6.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\336562.EXE-02863137.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44743562.EXE-1063BB54.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\DRWTSN32.EXE-01FD9888.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\MSCAMS32.EXE-0322BB5E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\RUNDLL32.EXE-14338735.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\RUNDLL32.EXE-1C14621C.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\RUNDLL32.EXE-1CA52BF1.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\RUNDLL32.EXE-33D90317.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\RUNDLL32.EXE-421213EB.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\11351843.EXE-20910245.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\11384203.EXE-09C72EF1.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\11393453.EXE-25F671AB.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14857953.EXE-22ADA1C4.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14876093.EXE-3812BD8F.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14877703.EXE-182F610F.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14950203.EXE-35E9EA7F.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\252953.EXE-14081BC4.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\260203.EXE-34FB672E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\263453.EXE-2FCE65D1.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\293343.EXE-2EA1C929.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29447093.EXE-0AD7B56A.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\367593.EXE-05027A73.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14953984.EXE-26F4329D.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29546234.EXE-1CEC239D.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44776484.EXE-217D1C2C.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14819515.EXE-04B3BD6C.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14863515.EXE-1366C016.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14923125.EXE-1E39245D.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\251015.EXE-0440E8B2.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\288015.EXE-0402EDCB.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29506375.EXE-15DDE093.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29566015.EXE-2C1D4F94.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\315515.EXE-0E99F6E5.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\364015.EXE-294804CD.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\417625.EXE-37040FE7.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44187015.EXE-3242F35F.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44808265.EXE-1173FCEA.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14853796.EXE-113D58E4.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\273156.EXE-1FBDA4DF.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29415906.EXE-2A02A1FE.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29427546.EXE-12158139.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29503406.EXE-31466CB2.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29556796.EXE-2B481B9E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44746796.EXE-11D44A40.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\FLEC006.EXE-2881550B.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29449437.EXE-38FD554D.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29571687.EXE-2FB9E88E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\36227437.EXE-1055255D.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\320078.EXE-3211D57C.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\36158578.EXE-334E5EA4.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\413718.EXE-06111903.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\44146328.EXE-3859304F.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14793359.EXE-05592953.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\332859.EXE-06E35B09.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\357859.EXE-139CB292.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\373609.EXE-179C01AE.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\OSA9.EXE-22A80583.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14795250.EXE-1A6B7132.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\14919750.EXE-1FB32E63.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\250890.EXE-2B9773C0.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\279250.EXE-05268B7A.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29390140.EXE-09196BFD.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\294390.EXE-1F06002C.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29439890.EXE-18CC5D8E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29446250.EXE-143EC231.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\29558500.EXE-3222E896.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\36216250.EXE-03C7A70A.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\UNINS000.EXE-022E8F3C.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\VVX3000.EXE-0D39B07B.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\WINTEMS.EXE-13A33E82.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\MDELK.EXE-18C9494E.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\MDELK.EXE-392F975F.pf
Supprimé ! - C:\WINDOWS.0\Prefetch\HLDRRR.EXE-0446E38F.pf

»»»» Suppression des fichiers dans C:\WINDOWS.0\system32

Supprimé ! - C:\WINDOWS.0\system32\ban_list.txt

»»»» Suppression des fichiers dans C:\WINDOWS.0\system32\drivers

Supprimé ! - C:\WINDOWS.0\system32\drivers\srosa.sys

»»»» Suppression des fichiers dans C:\Documents and Settings\romain\Application Data


»»»» Suppression des fichiers dans C:\DOCUME~1\romain\LOCALS~1\Temp


--------------- [ Registre / Clés infectieuses ] ----------------

Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

-> Certaines clés ont été supprimées au reboot ...

--------------- [ Etat / Redémarage des services ] ----------------


+- Affichage des fichiers cachés réparé !


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 3

Ip6Fw - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2


--------------- [ Nettoyage des supports amovibles ] ----------------

+- Informations :

C: - Lecteur fixe

E: - Lecteur amovible


+- Suppression des fichiers :

Supprimé ! - E:\autorun.inf

--------------- [ Registre / Moutpoint2 ] ----------------


-> Recherche négative.


--------------- [ Recherche Cracks / Keygen ] ----------------

C:\Documents and Settings\romain\Bureau\Crack
C:\Documents and Settings\romain\Bureau\Crack\EasyGIFAnimator.jpg
C:\Documents and Settings\romain\Bureau\Crack\gifan.exe


---------------- ! Fin du rapport ! ------------------



Rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:38:31, on 02/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\explorer.exe
C:\WINDOWS.0\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\update\update.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\romain\Bureau\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Program Files\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Program Files\Easy Gif Animator Extension\v3.2.0.0\EasyGifAnimator_Toolbar.dll
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS.0\vVX3000.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Office SturtUp] osa9.exe
O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B34D74-56C5-4525-BB00-ACD723E3A199}: NameServer = 80.10.246.2,80.10.246.129
O21 - SSODL: SQGCNGzo - {3409BCF2-9EA3-1658-7B42-E284639AE14B} - C:\WINDOWS.0\system32\kn.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
0
Réponse 17 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 17:32
ok il y a encore une salopperie est ce que le mode sans echec fonctionne ??
et juste une question ta version windows est elle une version légal ou piratée raipond franchement, Merci
0
Réponse 18 / 29
romain784
2 nov. 2008 à 17:59
Dois-je réessayer d'ouvrir Windows en mode sans échec et de faire une analyse complète avec Malwarebytes?Je crois que c'est une version piratée,j'ai récupérer ce PC il y a un an a peu près mais il avait été bricolé quelque temps avant (changement de carte mère, carte graphiques, rajout de mémoire vive) et la version de Windows installée était stockée sur un CD non-officiel...
0
Réponse 19 / 29
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
2 nov. 2008 à 18:07
si le mode sans echec marche passe SDfix , sinon fais attention avec des licence piraté si tu ne peux pas faire les mises à jour windows tu deviens plus vulnérable aux infections

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

TUTO: https://www.malekal.com/slenfbot-still-an-other-irc-bot/
0
Réponse 20 / 29
romain784
2 nov. 2008 à 19:58
[b]SDFix: Version 1.238 [/b]
Run by romain on 02/11/2008 at 18:51

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS.EXE - Deleted
C:\WINDOWS.EXE - Deleted
C:\smp.bat - Deleted
C:\WINDOWS.0\system32\ctccw32.dll - Deleted
C:\WINDOWS.0\update.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-02 19:02:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001bdc0fcde6]
"001d253c757a"=hex:88,73,d3,b1,4f,c2,b5,01,6f,25,7b,a9,cb,3d,64,bb
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001bdc0fcde6]
"001d253c757a"=hex:88,73,d3,b1,4f,c2,b5,01,6f,25,7b,a9,cb,3d,64,bb

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS.0\system32\CatRoot\TMP4.tmp 5380717 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe:*:Enabled:LifeExp.exe"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Documents and Settings\\romain\\Local Settings\\Temp\\Rar$EX02.343\\eMule0.47c\\emule.exe"="C:\\Documents and Settings\\romain\\Local Settings\\Temp\\Rar$EX02.343\\eMule0.47c\\emule.exe:*:Enabled:eMule"
"C:\\Documents and Settings\\romain\\Bureau\\emule.exe"="C:\\Documents and Settings\\romain\\Bureau\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"
"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe:*:Enabled:Microsoft LifeCam"
"C:\\Program Files\\Analog Devices\\SoundMAX\\SMax4.exe"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMax4.exe:*:Enabled:Application de panneau de configuration SoundMAX"
"C:\\Program Files\\Microsoft LifeCam\\IcePick.exe"="C:\\Program Files\\Microsoft LifeCam\\IcePick.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\SymplisIT\\DriverMagic\\DriverMagic.exe"="C:\\Program Files\\SymplisIT\\DriverMagic\\DriverMagic.exe:*:Enabled:DriverMagic"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\MSN BackUp\\MSNBackup.exe"="C:\\Program Files\\MSN BackUp\\MSNBackup.exe:*:Enabled:MSN BackUp"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 22 Apr 2008 625,664 A.SH. --- "C:\Program Files\Internet Explorer\iexplore.exe"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Thu 19 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Sun 11 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS.0\DRM\Cache\Indiv01.tmp"
Sun 2 Nov 2008 0 A..H. --- "C:\WINDOWS.0\SoftwareDistribution\Download\2af54949ef6051d62a22acc8e774eeac\BIT16.tmp"

[b]Finished![/b]
0