| je pense que je suis infecté | |
|
|
|
Auteur | Message |
---|
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: je pense que je suis infecté Mar 30 Juin - 17:04:11 | |
| bonjour à tous sur le forum ^^ j'ai un ami qui est venu avec sa clé USB et avira ma détécter un virus, depuis j'ai l'ordi qui ram à mort. j'ai fait un scan avira puis un scan malwarebytes qui ma trouvé quelque virus mais mon ordi ram toujours autant. voici un rapport hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:50:35, on 30/06/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe C:\Program Files\Network Associates\Common Framework\FrameworkService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\OSD.exe C:\Program Files\Launch Manager\OSDCtrl.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP Wireless Printer Adapter\ConnectMgr.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\Program Files\HP Wireless Adapter\HPWlan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\ahahihih.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HPWireless] "C:\Program Files\HP Wireless Adapter\HPWLAN.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Redémarrer le gestionnaire de connexion.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - https://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe O24 - Desktop Component 0: (no name) - http://mail3.voila.fr/webmail/fr_FR/Images/coche_off.gif -- End of file - 8147 bytes
merci de bien vouloir me dire si je suis infecté | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Mar 30 Juin - 17:35:21 | |
| Bonjour rafafa et bienvenu sur le forum d'entraide Ton PC n'est pas du tout à jour... Commence par faire ceci stp :
- Telecharge UsbFix de C_XX & Chiquitine29
- tutoriel d'installation
- tutoriel recherche
- Lance l installation avec les parametres par default
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci UsbFix sur ton bureau
- Choisi l'option 1 (recherche)
- Laisse travailler l'outil
- Ensuite post le rapport UsbFix.txt qui apparaîtra
- Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Mar 30 Juin - 21:03:43 | |
| salut geoffrey, aucun des 3 liens que tu ma donner ne marche | |
|
| |
Nemesis31 En formation
Nombre de messages : 139 Age : 54 Localisation : tlse Système d\'exploitation * : XP pro Date d'inscription : 26/04/2009
| Sujet: Re: je pense que je suis infecté Mar 30 Juin - 21:12:24 | |
| Je confirme, tes 3 liens ne marchent pas | |
|
| |
lainvi En formation
Nombre de messages : 44 Age : 55 Localisation : Brest (29) Système d\'exploitation * : Xp et vista 64 Date d'inscription : 23/05/2009
| Sujet: Re: je pense que je suis infecté Mar 30 Juin - 22:16:09 | |
| Salut !
Apparemment le téléchargement de USBFix a été interrompu !??
Il faut attendre geoffrey5 pour la suite, je pense qu'il va te proposer autre chose. | |
|
| |
chimay8 Modérateur
Nombre de messages : 28 Age : 52 Localisation : Belgique-près de Namur Date d'inscription : 17/08/2008
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 9:02:56 | |
| Salut,
Usbfix est fusionné avec findykill
fais ceci(geoffrey5 reprendra la suite)
Télécharge FindyKill de Chiquitine29
Fais un clic droit sur le lien, enregistrer sous .....sur le bureau
https://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Installe le par défaut dans "Progam files"
Entre dans le dossier FindyKill
double clique sur "FindyKill.exe"
choisis l'option 1 (recherche)
un rapport va s'ouvrir, poste le dans ta prochaine réponse s-t-p
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque | |
|
| |
Juliensl Contributeur
Nombre de messages : 171 Age : 28 Localisation : France Système d\'exploitation * : windows vista Date d'inscription : 08/09/2008
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 12:22:53 | |
| ############################## | FindyKill V6.001 | # User : rafaèle (Administrateurs) # E87D71ADA19B40A # Update on 30/06/09 by Chiquitine29 & C_XX # Start at: 11:15:48 | 01/07/2009 # Website : http://pagesperso-orange.fr/NosTools/index.html # Mobile AMD Athlon(tm) 64 Processor 3200+ # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 # Internet Explorer 8.0.6001.18702 # Windows Firewall Status : Enabled # AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ] # C:\ # Disque fixe local # 74,52 Go (35,83 Go free) # NTFS # D:\ # Disque CD-ROM # E:\ # Disque CD-ROM # 654,81 Mo (0 Mo free) [ARM FRANCE 2002] # CDFS # G:\ # Disque CD-ROM # H:\ # Disque CD-ROM # I:\ # Disque CD-ROM # J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS # K:\ # Disque amovible # 3,74 Go (3,4 Go free) # FAT32 ############################## | Processus actifs | C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe C:\Program Files\Network Associates\Common Framework\FrameworkService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\OSD.exe C:\Program Files\Launch Manager\OSDCtrl.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\WINDOWS\System32\alg.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe C:\Program Files\HP Wireless Adapter\HPWLAN.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP Wireless Printer Adapter\ConnectMgr.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Documents and Settings\rafaèle\Application Data\U3\11020316A2429AF7\LaunchPad.exe ################## | Registre Startup | HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm" HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" HKCU_Main: "Start Page"="http://www.voila.fr/" HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," HKLM_logon: "DefaultUserName"="rafaŠle" HKLM_logon: "AltDefaultUserName"="rafaŠle" HKLM_logon: "LegalNoticeCaption"="" HKLM_logon: "LegalNoticeText"="" HKLM_Run: SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0\bin\jusched.exe HKLM_Run: ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe HKLM_Run: LaunchAp=C:\Program Files\Launch Manager\LaunchAp.exe HKLM_Run: HotkeyApp=C:\Program Files\Launch Manager\HotkeyApp.exe HKLM_Run: LMgrVolOSD=C:\Program Files\Launch Manager\OSD.exe HKLM_Run: LMgrOSD=C:\Program Files\Launch Manager\OSDCtrl.exe HKLM_Run: Wbutton="C:\Program Files\Launch Manager\Wbutton.exe" HKLM_Run: SoundMan=SOUNDMAN.EXE HKLM_Run: SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe HKLM_Run: Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY HKLM_Run: CtrlVol=C:\Program Files\Launch Manager\CtrlVol.exe HKLM_Run: NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe HKLM_Run: HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime HKLM_Run: McAfeeUpdaterUI="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" HKLM_Run: HPWireless="C:\Program Files\HP Wireless Adapter\HPWLAN.exe" HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents= HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe ################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\rafaŠle\Temporary Internet Files |
################## | All Drives ... | Présent ! E:\install.exe Présent ! E:\Setup.exe Présent ! E:\autorun.inf Présent ! J:\autorun.inf Présent ! "K:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213" ################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 | HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\J\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\explore\Command HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\open\Command HKCU\...\Explorer\MountPoints2\{33db949f-0f55-11dc-a392-00904be48914}\Shell\Auto\Command HKCU\...\Explorer\MountPoints2\{33db949f-0f55-11dc-a392-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{4fd4b434-b458-11da-a2b5-00904be48914}\Shell\Auto\Command HKCU\...\Explorer\MountPoints2\{4fd4b434-b458-11da-a2b5-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{52aca138-0f76-11dc-a393-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{69cf5bfc-43cc-11da-a1eb-00904be48914}\Shell\Auto\Command HKCU\...\Explorer\MountPoints2\{69cf5bfc-43cc-11da-a1eb-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{71634168-9109-11db-a33f-00904be48914}\Shell\Auto\Command HKCU\...\Explorer\MountPoints2\{71634168-9109-11db-a33f-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{a4842796-8f39-11db-a33b-00904be48914}\Shell\Auto\Command HKCU\...\Explorer\MountPoints2\{a4842796-8f39-11db-a33b-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{b0cb4046-326f-11de-a524-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{bf884a34-8f68-11db-a33e-00904be48914}\Shell\Auto\Command HKCU\...\Explorer\MountPoints2\{bf884a34-8f68-11db-a33e-00904be48914}\Shell\AutoRun\Command HKCU\...\Explorer\MountPoints2\{f6859f86-e4ab-11da-a2ea-00904be48914}\Shell\AutoRun\Command ################## | Etat / Services / Informations | # Affichage des fichiers cachés : OK # Mode sans echec : OK # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) # EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) ################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.001 ! | | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 12:25:06 | |
| Bonjour, en effet, UsbFix a été retiré entretemps Il faut utiliser FindyKill comme te la proposé chimay8 PS : @chimay8Ce lien de téléchargement va bientôt être retiré... Voici le nouveau : https://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 12:27:18 | |
| Pourquoi est-ce que c'est toi qui envois son rapport Julien ?? | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 12:29:30 | |
| Maintenant fais ceci rafafa stp :
- tutoriel nettoyage
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
- Double clic sur le raccourci FindyKill sur ton bureau
- Au menu principal,choisi l option 2 (Suppression)
/!\ il y aura un redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
- ensuite post le rapport FindyKill.txt
* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 13:23:36 | |
| salut, il y avait un fichier USBfix et un fichier findykill dans C: donc j'ai copié le fichier findykill
############################## | FindyKill V6.001 | # User : rafaèle (Administrateurs) # E87D71ADA19B40A # Update on 30/06/09 by Chiquitine29 & C_XX # Start at: 11:35:01 | 01/07/2009 # Website : http://pagesperso-orange.fr/NosTools/index.html # Mobile AMD Athlon(tm) 64 Processor 3200+ # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 # Internet Explorer 8.0.6001.18702 # Windows Firewall Status : Enabled # AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ] # C:\ # Disque fixe local # 74,52 Go (35,71 Go free) # NTFS # D:\ # Disque CD-ROM # E:\ # Disque CD-ROM # 654,81 Mo (0 Mo free) [ARM FRANCE 2002] # CDFS # G:\ # Disque CD-ROM # H:\ # Disque CD-ROM # I:\ # Disque CD-ROM # J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS # K:\ # Disque amovible # 3,74 Go (3,4 Go free) # FAT32 ############################## | Processus actifs | C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe C:\Program Files\Network Associates\Common Framework\FrameworkService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Avira\AntiVir Desktop\avwsc.exe ################## | Fichiers # Dossiers infectieux |
################## | C:\Documents and Settings\rafaŠle\Temporary Internet Files |
################## | All Drives ... | (!) Non supprimé ! E:\install.exe (!) Non supprimé ! E:\Setup.exe (!) Non supprimé ! E:\autorun.inf (!) Non supprimé ! J:\autorun.inf ################## | Autres ... |
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 | Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command Supprimé ! HKCU\...\Explorer\MountPoints2\J\Shell\AutoRun\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\AutoRun\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{33db949f-0f55-11dc-a392-00904be48914}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{4fd4b434-b458-11da-a2b5-00904be48914}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{52aca138-0f76-11dc-a393-00904be48914}\Shell\AutoRun\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{69cf5bfc-43cc-11da-a1eb-00904be48914}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{71634168-9109-11db-a33f-00904be48914}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{a4842796-8f39-11db-a33b-00904be48914}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{bf884a34-8f68-11db-a33e-00904be48914}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{f6859f86-e4ab-11da-a2ea-00904be48914}\Shell\AutoRun\Command ################## | Listing des fichiers présent | [21/10/2005 15:04|--a------|0] - C:\AUTOEXEC.BAT [21/10/2005 15:55|--a------|167] - C:\bcmwl5.log [29/06/2009 16:45|--ahs----|216] - C:\boot.ini [05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin [21/10/2005 15:04|--a------|0] - C:\CONFIG.SYS [01/07/2009 11:50|--a------|4000] - C:\FindyKill.txt [21/10/2005 15:55|--a------|1559] - C:\FSC-DeskUpdate.txt [||] - C:\hiberfil.sys [21/10/2005 15:04|-rahs----|0] - C:\IO.SYS [13/06/2009 15:14|--a------|37590] - C:\mombi.log [21/10/2005 15:04|-rahs----|0] - C:\MSDOS.SYS [05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM [06/11/2008 18:06|-rahs----|252240] - C:\ntldr [||] - C:\pagefile.sys [12/12/2008 13:10|--a------|68] - C:\scandata.dat [25/03/2007 15:15|--ah-----|232] - C:\sqmdata00.sqm [13/04/2007 22:27|--ah-----|232] - C:\sqmdata01.sqm [14/04/2007 14:41|--ah-----|232] - C:\sqmdata02.sqm [14/04/2007 17:10|--ah-----|232] - C:\sqmdata03.sqm [14/04/2007 17:19|--ah-----|232] - C:\sqmdata04.sqm [14/04/2007 17:38|--ah-----|232] - C:\sqmdata05.sqm [14/04/2007 17:46|--ah-----|232] - C:\sqmdata06.sqm [14/04/2007 17:49|--ah-----|232] - C:\sqmdata07.sqm [14/04/2007 21:34|--ah-----|232] - C:\sqmdata08.sqm [05/05/2007 18:16|--ah-----|232] - C:\sqmdata09.sqm [05/05/2007 18:20|--ah-----|232] - C:\sqmdata10.sqm [06/05/2007 17:12|--ah-----|232] - C:\sqmdata11.sqm [20/11/2006 11:18|--ah-----|268] - C:\sqmdata12.sqm [21/11/2006 07:41|--ah-----|268] - C:\sqmdata13.sqm [21/11/2006 07:46|--ah-----|268] - C:\sqmdata14.sqm [24/11/2006 12:13|--ah-----|268] - C:\sqmdata15.sqm [24/11/2006 12:28|--ah-----|268] - C:\sqmdata16.sqm [24/11/2006 12:50|--ah-----|268] - C:\sqmdata17.sqm [24/11/2006 13:34|--ah-----|268] - C:\sqmdata18.sqm [07/03/2007 20:43|--ah-----|232] - C:\sqmdata19.sqm [25/03/2007 15:15|--ah-----|244] - C:\sqmnoopt00.sqm [13/04/2007 22:27|--ah-----|244] - C:\sqmnoopt01.sqm [14/04/2007 14:41|--ah-----|244] - C:\sqmnoopt02.sqm [14/04/2007 17:10|--ah-----|244] - C:\sqmnoopt03.sqm [14/04/2007 17:19|--ah-----|244] - C:\sqmnoopt04.sqm [14/04/2007 17:38|--ah-----|244] - C:\sqmnoopt05.sqm [14/04/2007 17:46|--ah-----|244] - C:\sqmnoopt06.sqm [14/04/2007 17:49|--ah-----|244] - C:\sqmnoopt07.sqm [14/04/2007 21:34|--ah-----|244] - C:\sqmnoopt08.sqm [05/05/2007 18:16|--ah-----|244] - C:\sqmnoopt09.sqm [05/05/2007 18:20|--ah-----|244] - C:\sqmnoopt10.sqm [06/05/2007 17:12|--ah-----|244] - C:\sqmnoopt11.sqm [20/11/2006 11:18|--ah-----|244] - C:\sqmnoopt12.sqm [21/11/2006 07:41|--ah-----|244] - C:\sqmnoopt13.sqm [21/11/2006 07:46|--ah-----|244] - C:\sqmnoopt14.sqm [24/11/2006 12:13|--ah-----|244] - C:\sqmnoopt15.sqm [24/11/2006 12:28|--ah-----|244] - C:\sqmnoopt16.sqm [24/11/2006 12:50|--ah-----|244] - C:\sqmnoopt17.sqm [24/11/2006 13:34|--ah-----|244] - C:\sqmnoopt18.sqm [07/03/2007 20:43|--ah-----|244] - C:\sqmnoopt19.sqm [15/04/2002 18:50|-r-------|72058] - E:\00000000.016 [15/04/2002 18:50|-r-------|143650] - E:\00000000.256 [15/04/2002 18:50|-r-------|2048] - E:\00000001.TMP [15/04/2002 14:26|-r-------|1443086] - E:\Atlas Routier Michelin.EXE [05/04/2002 22:08|-r-------|43] - E:\Autorun.inf [15/05/2000 10:08|-r-------|134656] - E:\Setup.exe [18/04/2002 14:01|-r-------|148] - E:\Setup.ini [21/04/2000 12:21|-r-------|3638] - E:\bib.ico [18/04/2002 14:01|-r-------|1773125] - E:\data1.cab [18/04/2002 14:07|-r-------|53640] - E:\data1.hdr [18/04/2002 14:07|-r-------|67843872] - E:\data2.cab [15/04/2002 18:50|-r-------|35840] - E:\drvmgt.dll [05/09/2001 06:06|-r-------|344923] - E:\ikernel.ex_ [26/03/2002 19:57|-r-------|297942] - E:\install.bmp [18/04/2002 13:19|-r-------|1233920] - E:\install.exe [18/04/2002 14:07|-r-------|529] - E:\layout.bin [15/04/2002 18:50|-r-------|29392] - E:\secdrv.sys [19/03/2002 18:15|-r-------|426462] - E:\setup.bmp [18/04/2002 14:01|-r-------|181326] - E:\setup.inx [28/08/2000 16:14|-r-------|91] - E:\setup.iss [06/05/2008 14:26|-r-------|309] - J:\autorun.inf [23/10/2007 09:45|-r-------|1336632] - J:\LaunchU3.exe [06/05/2008 14:11|-r-------|5600229] - J:\LaunchPad.zip [04/05/2009 17:34|--ah-----|4096] - K:\._.Trashes [04/05/2009 17:43|--ah-----|12292] - K:\.DS_Store [08/01/2009 22:42|--a------|296] - K:\WMPInfo.xml [23/10/2007 09:45|-ra------|1336632] - K:\LaunchU3.exe [17/06/2009 23:46|--a------|103846] - K:\-2- Couleurs2.JPG [12/06/2009 10:05|--a------|25735] - K:\CV marianne gely.pdf ################## | Vaccination | # C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill. # K:\autorun.inf ( # Not infected ) -> Folder created by FindyKill. ################## | Etat / Services / Informations | # Mode sans echec : OK
# Affichage des fichiers cachés : OK # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) # EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) ################## | PEH ... |
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.001 ! | | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 13:29:38 | |
| Ok maintenant fais ceci stp :
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition sur mon site web pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
- Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Mer 1 Juil - 15:36:54 | |
| Malwarebytes' Anti-Malware 1.38 Version de la base de données: 2358 Windows 5.1.2600 Service Pack 3 01/07/2009 14:03:08 mbam-log-2009-07-01 (14-03-08).txt Type de recherche: Examen complet (C:\|K:\|) Eléments examinés: 137768 Temps écoulé: 54 minute(s), 46 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 2 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Jeu 2 Juil - 1:01:19 | |
| Re,
- Télécharge Random's System Information Tool (RSIT)
- Un tutoriel sera à ta disposition sur mon site web pour l'installer et l'utiliser correctement.
- Comment héberger les rapports trop longs de RSIT
| |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 2 Juil - 16:25:26 | |
| voilou http://www.toofiles.com/fr/oip/documents/txt/5klln3-rtodza-8jylsp.html | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Jeu 2 Juil - 17:01:47 | |
| Bonjour rafafa,
- Télécharge et enregistre Combofix (de sUBs) sur ton bureau
(c est le numéro 5) :
- Je te conseille d'installer la console de récupération !!
- désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix ensuite envois le rapport stp | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 2 Juil - 17:57:22 | |
| ComboFix 09-07-01.04 - rafaèle 02/07/2009 16:49.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.894.514 [GMT 2:00] Lancé depuis: c:\documents and settings\rafaèle\Bureau\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((((((((( Fichiers créés du 2009-06-02 au 2009-07-02 )))))))))))))))))))))))))))))))))))) . 2009-07-02 13:21 . 2009-07-02 13:22 -------- d-----w- C:\rsit 2009-07-01 10:14 . 2009-07-01 10:14 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2 2009-07-01 09:14 . 2009-07-01 09:53 -------- d-----w- C:\FindyKill 2009-07-01 09:10 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll 2009-07-01 09:10 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll 2009-06-30 18:58 . 2009-06-30 18:58 -------- d-----w- c:\program files\Microsoft 2009-06-30 18:58 . 2009-06-30 18:58 -------- d-----w- c:\program files\Windows Live SkyDrive 2009-06-30 18:57 . 2009-06-30 18:58 -------- d-----w- c:\program files\Windows Live 2009-06-30 18:56 . 2009-06-30 18:56 -------- d-----w- c:\program files\Fichiers communs\Windows Live 2009-06-30 08:04 . 2009-06-30 08:04 -------- d-----w- c:\windows\system32\XPSViewer 2009-06-30 08:04 . 2009-06-30 08:04 -------- d-----w- c:\program files\MSBuild 2009-06-30 08:04 . 2009-06-30 08:04 -------- d-----w- c:\program files\Reference Assemblies 2009-06-30 08:03 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-06-30 08:03 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-06-30 08:03 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-06-30 08:03 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2009-06-30 08:03 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-06-30 08:03 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-06-30 08:03 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-06-30 08:03 . 2009-06-30 08:03 -------- d-----w- C:\23eb118a7e5aec1e50019afe 2009-06-30 08:02 . 2009-06-30 11:54 -------- d-----w- c:\windows\SxsCaPendDel 2009-06-29 14:50 . 2009-06-29 14:50 -------- d-----w- c:\program files\Trend Micro 2009-06-29 12:34 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-29 12:34 . 2009-06-29 12:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-06-29 12:34 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-29 12:34 . 2009-06-29 12:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-06-23 13:26 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2009-06-23 13:26 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2009-06-23 13:26 . 2009-06-23 13:26 -------- d-----w- c:\windows\ie8updates 2009-06-23 13:25 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll 2009-06-23 13:22 . 2009-06-23 13:25 -------- dc-h--w- c:\windows\ie8 2009-06-23 12:35 . 2008-04-14 02:33 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll 2009-06-23 12:24 . 2009-06-23 12:24 -------- d-----w- c:\program files\Windows Media Connect 2 2009-06-23 12:22 . 2009-06-23 12:23 -------- d-----w- c:\windows\system32\drivers\UMDF . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-01 10:10 . 2005-10-23 12:58 -------- d-----w- c:\program files\Microsoft Works 2009-07-01 09:53 . 2004-08-05 12:00 85842 ----a-w- c:\windows\system32\perfc00C.dat 2009-07-01 09:53 . 2004-08-05 12:00 513736 ----a-w- c:\windows\system32\perfh00C.dat 2009-06-29 11:31 . 2008-11-10 14:43 -------- d-----w- c:\program files\CCleaner 2009-05-13 05:04 . 2004-09-29 18:49 915456 ----a-w- c:\windows\system32\wininet.dll 2009-05-08 14:01 . 2009-05-08 14:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira 2009-05-08 14:01 . 2009-05-08 14:01 -------- d-----w- c:\program files\Avira 2009-05-07 15:33 . 2004-08-05 12:00 348672 ----a-w- c:\windows\system32\localspl.dll 2009-04-19 19:50 . 2004-08-05 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-15 14:53 . 2004-08-05 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X] "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2005-10-21 36972] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968] "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768] "HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-02 57344] "LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2005-03-16 204800] "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760] "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920] "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217] "CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-11-03 98304] "McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "HPWireless"="c:\program files\HP Wireless Adapter\HPWLAN.exe" [2006-10-04 618496] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-03-24 77824] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-23 113664] D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472] Red‚marrer le gestionnaire de connexion.lnk - c:\program files\HP Wireless Printer Adapter\ConnectMgr.exe [2009-2-17 1122304] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Ciel\\directDéclaration\\directDeclaration.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1330:UDP"= 1330:UDP:Windows Media Format SDK (iexplore.exe) "1331:UDP"= 1331:UDP:Windows Media Format SDK (iexplore.exe) R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [08/05/2009 16:01 108289] R2 HPEAPPkt;Realtek EAPPkt Protocol(HP);c:\windows\system32\drivers\HPEAPPkt.sys [17/02/2009 19:33 68864] R3 hpnuhst;HP NUSB Host;c:\windows\system32\drivers\hpnuhst.sys [17/02/2009 19:34 11136] R3 HPNUHUB;HP NUSB Hub;c:\windows\system32\drivers\hpnuhub.sys [17/02/2009 19:34 37248] R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [21/10/2005 15:53 200192] S1 mailKmd;mailKmd; [x] S3 HPNUCMP;HP NUSB Composite;c:\windows\system32\drivers\hpnucmp.sys [17/02/2009 19:34 11648] S4 Mrfsamgrb;Mrfsamgrb; [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.voila.fr/ IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-02 16:52 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?@???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@??M?????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s???????w??@?N'?s????-6@? ?????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(740) c:\windows\system32\Ati2evxx.dll c:\windows\System32\BCMLogon.dll - - - - - - - > 'explorer.exe'(2424) c:\windows\system32\webcheck.dll c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL c:\program files\Fichiers communs\Microsoft Shared\Web Components\10\1036\OWCI10.DLL c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL c:\program files\Fichiers communs\Microsoft Shared\Web Components\11\1036\OWCI11.DLL c:\windows\system32\msls31.dll c:\windows\system32\eappprxy.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Heure de fin: 2009-07-02 16:54 ComboFix-quarantined-files.txt 2009-07-02 14:54 Avant-CF: 37 530 869 760 octets libres Après-CF: 37 531 037 696 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect 175 --- E O F --- 2009-07-01 10:16 | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Ven 3 Juil - 1:01:35 | |
| Re,
comment se comporte ton PC ?? | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Ven 3 Juil - 13:45:54 | |
| salut, il est toujours très lent, quand e l'allume, mes icones et la barre arrive mais mon fond d'écran prend environs 1 min. avant d'arriver. quand je quitte ou réduit une fenêtre, elle se saccade, en gros, le haut de la fenètre disparait, puis le milieu haut disparait puis le millieu... je vais faire un coup de cclenear, une défrag puis je vais faire un coup de avira et je te dis où ça en est a++ | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Ven 3 Juil - 18:22:03 | |
|
- Désactive ton antivirus
- Rends toi sur ce site : http://webscanner.kaspersky.fr/ (avec Internet Explorer uniquement)
- En bas à droite, clique sur Démarrer Online-scanner
- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActiveX
- Choisis Poste de travail pour le scan.
- Celui-ci terminé, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.
- Pour t'aider à utiliser le scan en ligne, consulte [http://www.malekal.com//scan_Av_en_ligne.php#mozTocId291566 ce tutoriel]
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 9 Juil - 10:01:02 | |
| salut, désoler de ne pas t'avoir répondut plus tôt mais j'étais très occupé -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse jeudi 9 juillet 2009 Système d'exploitation : Microsoft Windows XP Home Edition Service Pack 3 (build 2600) Version de Kaspersky Online Scanner : 7.0.26.13 Dernière mise à jour de la base : Wednesday, July 08, 2009 21:40:31 Enregistrements dans la base : 2445441 -------------------------------------------------------------------------------- Paramètres d'analyse: analyser avec la base suivante: étendue Analyser les archives: oui Analyser les bases de messagerie: oui Zone d'analyse - Poste de travail: C:\ D:\ E:\ G:\ H:\ I:\ Statistiques d'analyse: Objets analysés: 71473 Menaces trouvées: 1 Objets infectés trouvés: 1 Objets suspects trouvés: 0 Durée d'analyse: 02:18:14
Nom de fichier / Menace / Compteur de menaces C:\Documents and Settings\rafaèle\Mes documents\COURS\Photo Manna E)\AUTORUN.INF Infecté : Worm.Win32.RJump.a 1 La zone sélectionnée a été analysée.
merci beacoup a+++ | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Jeu 9 Juil - 11:51:41 | |
| Bonjour Rafafa,
encore une belle infection dans ton PC... Il s'agit du virus adobeR.
Désactive la restauration du système, tu la réactiveras plus tard quand je te le dirai :
1 Dans la barre des tâches de Windows, clique sur Démarrer. 2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
4 Clique sur Appliquer.
Ensuite branche tes disques amovibles et exécute ceci stp :
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FxRajump.exe | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 9 Juil - 13:27:21 | |
| je l'ai fait et a la fin il me dit qu'il n'a rien trouver mais il n'y a pas de rapport | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Jeu 9 Juil - 22:56:35 | |
| Ok maintenant :
- Télécharge RAV antivirus (d'Evosla)
(c est le numéro 15)
- Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
- Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
- Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
- Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
- Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
- Retire tes disques amovibles et redémarrer le PC.
- Poste le rapport, si infection!
ensuite :
- Télécharge l'outil Flash_Disinfector (de sUBs) et enregistre le sur ton bureau :
(c est le numéro 11) :
- Sous XP : Double clique sur Flash_Disinfector.exe pour l'exécuter.
- sous vista : Clic-droit sur Flash_Disinfector présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
- Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
- Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
- Puis clic sur Ok
- Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
- Appuie ensuite sur OK, pour faire réapparaître le bureau.
| |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 9 Juil - 23:25:22 | |
| voila, j'ai fait les deux et aucun rapport ne c'est affiché | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 16 Juil - 12:03:29 | |
| salut geoffrey5, c'était pour savoir ce que je devais faire après??
merci a++ | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: je pense que je suis infecté Jeu 16 Juil - 12:30:19 | |
| Bonjour Rafafa, désolé pour le retard mais j'ai beaucoup de boulot sur les nouveaux forums Refais un nouveau RSIT stp | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Jeu 23 Juil - 13:00:13 | |
| désoler de ne pas avoir répondu plus tôt mais j'ai du m'absenté RSIT si je ne répond pas pendant un petit moment c'est que je ne suis pas là non plus et je m'excuse d'avance. en tout cas merci pour tout ce que vous avez déjà fait (symptôme: l'ordi est très très lent) | |
|
| |
Rafafa Membre
Nombre de messages : 14 Age : 64 Localisation : Montpellier Système d\'exploitation * : Windows xp Date d'inscription : 30/06/2009
| Sujet: Re: je pense que je suis infecté Ven 31 Juil - 22:27:14 | |
| salut, je me questionné sur ce qu'il fallait que je fasse merci | |
|
| |
Nemesis31 En formation
Nombre de messages : 139 Age : 54 Localisation : tlse Système d\'exploitation * : XP pro Date d'inscription : 26/04/2009
| Sujet: Re: je pense que je suis infecté Sam 1 Aoû - 1:25:30 | |
| salut ! je comprends pas pourquoi il y a mcafee... alors qu tu as avira. Va dans: *Démarrer *Panneau de configuration *Ajout/suppression de programmes *cherches Mcafee Si tu ne le trouves pas fait ça: - Citation :
-
Désinstalle Mcafee à l'aide de l'outil de désinstallation VSCleanupTool.exe comme l'explique le support technique de Mcafee
Réponse du centre de support technique Mcafee faite à une personne qui n'arrivait pas à désinstaller cet antivirus.
Merci d'avoir contacté le centre de support technique Mcafee. Veuillez suivre les instructions ci-dessous pour desinstaller VirusScan :
1: Executez le fichier VSCleanupTool.zip joint à cet email.
2. Redemarrez l'ordinateur.
desinstallez le programme McAfee Security centre depuis ajout/suppression de programmes du panneau de configuration si possible: Cliquez sur le bouton « Démarrer ». Cliquez sur Panneau de configuration. Le Panneau de configuration s'affiche. Cliquez deux fois sur l'icône Ajout/Suppression de programmes. La boîte de dialogue « Propriétés de Ajout/Suppression de programmes » s'affiche. Recherchez McAfee Security centre dans la liste des programmes installés et cliquez dessus une fois pour les sélectionner Cliquez sur le bouton « Ajouter/Supprimer ».
REMARQUE : si vous êtes invité à supprimer des fichiers partagés, répondez Oui pour tous.
3: Redemarrez l'ordinateur.
++ | |
|
| |
Contenu sponsorisé
| Sujet: Re: je pense que je suis infecté | |
| |
|
| |
| je pense que je suis infecté | |
|