|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
je me suis décidé a poster un message sur votre forum parce qu'après avoir fouillé sur le net, je n'ai pas réussi à régler mon problème.
En gros mon ordinateur est lent (depuis quelques jours). donc en tapant ctrl + alt + suppr, j'ai regardé les processus qui utilisaient l'UC (100% en permanence).
La ça change souvent. en général c'est taskmgr.exe qui prend 99% de l'uc. quand j'ai firefox de lancé c'est lui qui utilise tout (environ 90%) et parfois je vois d'autres trucs pas très joli du genre hldrrr.exe (j'ai cru comprendre que c'était un trojan).
Là ou ça devient amusant c'est que, voulant nettoyer mon ordinateur en essayant un peu tous les antivirus et autres, j'obtiens des messages d'erreur quand je veux en lancer certains (dont hijackthis) du type : "hijackthis.exe n'est pas une application win32 valide".
Ne perdant pas patience, j'en essaie d'autres, je suis des méthodes trouvées sur internet et je constate que mon mode sans échec ne marche pas (j'ai été surpris de voir le mode sans échec échouer. je ne pensais pas que c'était possible).
Donc finalement je ne sais plus trop que faire donc j'ai pensé qu'il me fallait peut-être une aide plus personnalisée.
Que faire ?
En vous remerciant d'avance de votre aide.
-->Message édité par zerid le 09/05/2008 18:08:14<--
|
|
|
|
|
B'soir,
Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau
* Double-clique dessus pour l'ouvrir
* Assure toi que dans le menu déroulant Unidad, tu as bien C:\
* Vérifies aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Clique sur le bouton Explorar pour lancer l'analyse
* Enregistre le rapport et poste le ici
|
|
|
|
|
oui, mais je crois que je suis maudis 
en lançant ce programme, j'ai un message :
"detectado gusano bagle.
Reinicie para Completar la Limpieza."
(je suis pas très fort en espagnol)
ensuite le programme se lance et je suis les instructions. Mais il se ferme quelques secondes plus tard tout seul.
C'est normal ? (je pense pas)
|
|
|
|
|
|
Relance ELIBAGLA et poste le rapport.
|
|
|
|
|
bah oui mais le problème c'est qu'il ne crée pas de rapport.
Il se ferme quelques secondes après que je l'ai lancé.
|
|
|
|
|
Peux tu utiliser ceci ?
Télécharge Combofix (by sUbs)
En suivant impérativement ce tuto !!
http://forum.pcastuces.com/sujet.asp?f=25&s=37315
NOTE : Sauvegarde-le sur le bureau - pas ailleurs / Désactive tes protections résidentes durant son utilisation.
Redémarre en MSE <=> Aide : Comment redémarrer en Mode sans Echec
~~ Privilège la méthode avec F8 ~~
Double Clic sur Combofix. Quand une question te sera posée, réponds par la touche 1 et valide par Entrée.
...Laisse toi guider...
Lorsque l'analyse est terminée, un rapport sera créé. Redémarre en mode normal et poste-le (C:\Combofix.txt).
@tte
|
|
|
|
|
ah non, c'est bon.
En fait il fallait que je redemarre mon ordinateur et eliblaga s'est lancé tout seul.
Je lance quand même combofix ?
(ps : je sais pas si ça change quelque chose mais je précise au cas ou que mon disque dur est partitionné (C, D, E))
voici le rapport :
Fri May 09 12:31:04 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Fri May 09 12:31:15 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Fri May 09 12:31:43 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Fri May 09 13:07:32 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 13:07:47 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 13:08:07 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 13:08:10 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 09 13:09:40 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 13:09:43 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 09 14:25:51 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 14:25:59 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 09 18:40:09 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 18:40:44 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 09 18:45:50 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 18:45:53 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 09 18:58:47 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 18:58:50 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Fri May 09 19:02:36 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Fri May 09 19:03:10 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Analog Devices\Core\SMAX4PNP.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 5295
Nº Total de Ficheros: 43591
Nº de Ficheros Analizados: 7895
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
|
|
|
|
|
|
Relance ELIBAGLA puis essaye de lancer Combofix oui. Sinon il ne fonctionne pas indique le moi.
|
|
|
|
|
Donc déjà, bonne nouvelle : le mode sans échec fonctionne à nouveau. C'est déjà ça de gagné. 
voila pour elibagla
Fri May 09 19:14:17 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri May 09 19:16:23 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri May 09 19:16:26 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Analog Devices\Core\SMAX4PNP.EXE --> Eliminado Bagle.dldr
Fri May 09 19:18:39 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.
Fri May 09 19:19:10 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 5295
Nº Total de Ficheros: 43419
Nº de Ficheros Analizados: 7894
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
et pour combofix :
ComboFix 08-05-08.1 - enfants 2008-05-09 19:27:12.1 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\enfants\Bureau\Combo-Fix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\100234.exe
C:\WINDOWS\system32\drivers\downld\102796.exe
C:\WINDOWS\system32\drivers\downld\104359.exe
C:\WINDOWS\system32\drivers\downld\104406.exe
C:\WINDOWS\system32\drivers\downld\104546.exe
C:\WINDOWS\system32\drivers\downld\104843.exe
C:\WINDOWS\system32\drivers\downld\105640.exe
C:\WINDOWS\system32\drivers\downld\105812.exe
C:\WINDOWS\system32\drivers\downld\106734.exe
C:\WINDOWS\system32\drivers\downld\111421.exe
C:\WINDOWS\system32\drivers\downld\120265.exe
C:\WINDOWS\system32\drivers\downld\126671.exe
C:\WINDOWS\system32\drivers\downld\128781.exe
C:\WINDOWS\system32\drivers\downld\145031.exe
C:\WINDOWS\system32\drivers\downld\149906.exe
C:\WINDOWS\system32\drivers\downld\164578.exe
C:\WINDOWS\system32\drivers\downld\165500.exe
C:\WINDOWS\system32\drivers\downld\1655968.exe
C:\WINDOWS\system32\drivers\downld\169640.exe
C:\WINDOWS\system32\drivers\downld\180765.exe
C:\WINDOWS\system32\drivers\downld\181234.exe
C:\WINDOWS\system32\drivers\downld\181703.exe
C:\WINDOWS\system32\drivers\downld\1856281.exe
C:\WINDOWS\system32\drivers\downld\1868406.exe
C:\WINDOWS\system32\drivers\downld\190796.exe
C:\WINDOWS\system32\drivers\downld\195781.exe
C:\WINDOWS\system32\drivers\downld\208203.exe
C:\WINDOWS\system32\drivers\downld\212296.exe
C:\WINDOWS\system32\drivers\downld\213703.exe
C:\WINDOWS\system32\drivers\downld\217328.exe
C:\WINDOWS\system32\drivers\downld\226640.exe
C:\WINDOWS\system32\drivers\downld\233609.exe
C:\WINDOWS\system32\drivers\downld\244531.exe
C:\WINDOWS\system32\drivers\downld\256343.exe
C:\WINDOWS\system32\drivers\downld\257625.exe
C:\WINDOWS\system32\drivers\downld\260500.exe
C:\WINDOWS\system32\drivers\downld\264921.exe
C:\WINDOWS\system32\drivers\downld\278843.exe
C:\WINDOWS\system32\drivers\downld\279656.exe
C:\WINDOWS\system32\drivers\downld\280875.exe
C:\WINDOWS\system32\drivers\downld\287078.exe
C:\WINDOWS\system32\drivers\downld\291812.exe
C:\WINDOWS\system32\drivers\downld\300343.exe
C:\WINDOWS\system32\drivers\downld\303265.exe
C:\WINDOWS\system32\drivers\downld\313109.exe
C:\WINDOWS\system32\drivers\downld\315265.exe
C:\WINDOWS\system32\drivers\downld\317421.exe
C:\WINDOWS\system32\drivers\downld\322328.exe
C:\WINDOWS\system32\drivers\downld\322859.exe
C:\WINDOWS\system32\drivers\downld\333484.exe
C:\WINDOWS\system32\drivers\downld\335875.exe
C:\WINDOWS\system32\drivers\downld\342906.exe
C:\WINDOWS\system32\drivers\downld\345843.exe
C:\WINDOWS\system32\drivers\downld\360000.exe
C:\WINDOWS\system32\drivers\downld\366453.exe
C:\WINDOWS\system32\drivers\downld\381734.exe
C:\WINDOWS\system32\drivers\downld\4030375.exe
C:\WINDOWS\system32\drivers\downld\4033234.exe
C:\WINDOWS\system32\drivers\downld\4036406.exe
C:\WINDOWS\system32\drivers\downld\4059625.exe
C:\WINDOWS\system32\drivers\downld\4069125.exe
C:\WINDOWS\system32\drivers\downld\4086625.exe
C:\WINDOWS\system32\drivers\downld\440312.exe
C:\WINDOWS\system32\drivers\downld\4421437.exe
C:\WINDOWS\system32\drivers\downld\4443828.exe
C:\WINDOWS\system32\drivers\downld\4459125.exe
C:\WINDOWS\system32\drivers\downld\4503656.exe
C:\WINDOWS\system32\drivers\downld\461234.exe
C:\WINDOWS\system32\drivers\downld\477156.exe
C:\WINDOWS\system32\drivers\downld\494921.exe
C:\WINDOWS\system32\drivers\downld\498140.exe
C:\WINDOWS\system32\drivers\downld\498515.exe
C:\WINDOWS\system32\drivers\downld\505437.exe
C:\WINDOWS\system32\drivers\downld\514921.exe
C:\WINDOWS\system32\drivers\downld\533078.exe
C:\WINDOWS\system32\drivers\downld\56875.exe
C:\WINDOWS\system32\drivers\downld\58031.exe
C:\WINDOWS\system32\drivers\downld\60109.exe
C:\WINDOWS\system32\drivers\downld\60125.exe
C:\WINDOWS\system32\drivers\downld\60390.exe
C:\WINDOWS\system32\drivers\downld\61015.exe
C:\WINDOWS\system32\drivers\downld\61671.exe
C:\WINDOWS\system32\drivers\downld\61750.exe
C:\WINDOWS\system32\drivers\downld\62000.exe
C:\WINDOWS\system32\drivers\downld\62781.exe
C:\WINDOWS\system32\drivers\downld\64265.exe
C:\WINDOWS\system32\drivers\downld\64593.exe
C:\WINDOWS\system32\drivers\downld\64640.exe
C:\WINDOWS\system32\drivers\downld\64796.exe
C:\WINDOWS\system32\drivers\downld\65171.exe
C:\WINDOWS\system32\drivers\downld\65796.exe
C:\WINDOWS\system32\drivers\downld\66046.exe
C:\WINDOWS\system32\drivers\downld\66062.exe
C:\WINDOWS\system32\drivers\downld\68109.exe
C:\WINDOWS\system32\drivers\downld\68562.exe
C:\WINDOWS\system32\drivers\downld\687312.exe
C:\WINDOWS\system32\drivers\downld\68843.exe
C:\WINDOWS\system32\drivers\downld\6895234.exe
C:\WINDOWS\system32\drivers\downld\6899234.exe
C:\WINDOWS\system32\drivers\downld\6902640.exe
C:\WINDOWS\system32\drivers\downld\6918890.exe
C:\WINDOWS\system32\drivers\downld\6940062.exe
C:\WINDOWS\system32\drivers\downld\69968.exe
C:\WINDOWS\system32\drivers\downld\7018468.exe
C:\WINDOWS\system32\drivers\downld\7037515.exe
C:\WINDOWS\system32\drivers\downld\7049718.exe
C:\WINDOWS\system32\drivers\downld\70765.exe
C:\WINDOWS\system32\drivers\downld\7078156.exe
C:\WINDOWS\system32\drivers\downld\70843.exe
C:\WINDOWS\system32\drivers\downld\710203.exe
C:\WINDOWS\system32\drivers\downld\721625.exe
C:\WINDOWS\system32\drivers\downld\7398015.exe
C:\WINDOWS\system32\drivers\downld\7400906.exe
C:\WINDOWS\system32\drivers\downld\7408890.exe
C:\WINDOWS\system32\drivers\downld\7435312.exe
C:\WINDOWS\system32\drivers\downld\747531.exe
C:\WINDOWS\system32\drivers\downld\75359.exe
C:\WINDOWS\system32\drivers\downld\76062.exe
C:\WINDOWS\system32\drivers\downld\7646234.exe
C:\WINDOWS\system32\drivers\downld\7664640.exe
C:\WINDOWS\system32\drivers\downld\7675375.exe
C:\WINDOWS\system32\drivers\downld\7696234.exe
C:\WINDOWS\system32\drivers\downld\77703.exe
C:\WINDOWS\system32\drivers\downld\79125.exe
C:\WINDOWS\system32\drivers\downld\80125.exe
C:\WINDOWS\system32\drivers\downld\81750.exe
C:\WINDOWS\system32\drivers\downld\82453.exe
C:\WINDOWS\system32\drivers\downld\82578.exe
C:\WINDOWS\system32\drivers\downld\82890.exe
C:\WINDOWS\system32\drivers\downld\84718.exe
C:\WINDOWS\system32\drivers\downld\85500.exe
C:\WINDOWS\system32\drivers\downld\86390.exe
C:\WINDOWS\system32\drivers\downld\88109.exe
C:\WINDOWS\system32\drivers\downld\88265.exe
C:\WINDOWS\system32\drivers\downld\8840515.exe
C:\WINDOWS\system32\drivers\downld\8844046.exe
C:\WINDOWS\system32\drivers\downld\8847234.exe
C:\WINDOWS\system32\drivers\downld\8870640.exe
C:\WINDOWS\system32\drivers\downld\8897468.exe
C:\WINDOWS\system32\drivers\downld\8951656.exe
C:\WINDOWS\system32\drivers\downld\8970656.exe
C:\WINDOWS\system32\drivers\downld\89765.exe
C:\WINDOWS\system32\drivers\downld\8983046.exe
C:\WINDOWS\system32\drivers\downld\9005671.exe
C:\WINDOWS\system32\drivers\downld\95734.exe
C:\WINDOWS\system32\drivers\downld\97765.exe
C:\WINDOWS\system32\drivers\downld\98437.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\launcher.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SROSA
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-09 to 2008-05-09 ))))))))))))))))))))))))))))))))))))
.
2008-05-09 19:31 . 2008-05-09 19:31 <REP> d-------- C:\WINDOWS\system32\drivers\downld
2008-05-09 18:11 . 2004-08-05 14:00 153,088 --a------ C:\WINDOWS\R.COM
2008-05-09 18:11 . 2004-08-05 14:00 143,360 --a------ C:\WINDOWS\system32\T.COM
2008-05-09 14:37 . 2008-05-09 14:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-09 14:34 . 2008-05-09 14:34 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-09 13:12 . 2008-05-09 13:12 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-08 17:19 . 2008-05-09 18:14 <REP> d-------- C:\Documents and Settings\enfants\Application Data\Lavasoft
2008-05-08 17:16 . 2008-05-08 17:16 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Webroot
2008-05-08 17:16 . 2004-02-11 18:27 102,912 --a------ C:\WINDOWS\system32\islzma.dll
2008-05-08 17:16 . 2005-12-14 19:06 78,336 --a------ C:\WINDOWS\system32\drivers\ssi.sys
2008-05-08 17:15 . 2008-05-08 17:15 <REP> d-------- C:\Documents and Settings\enfants\Application Data\Webroot
2008-05-08 17:14 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-08 15:38 . 2008-05-08 15:38 <REP> d-------- C:\Documents and Settings\enfants\Application Data\Uniblue
2008-05-08 15:22 . 2008-05-08 15:22 <REP> d-------- C:\!KillBox
2008-05-08 09:30 . 2008-02-17 04:11 36,864 --a------ C:\WINDOWS\winhost_app.dll
2008-05-04 20:44 . 2008-05-04 20:44 <REP> d-------- C:\Program Files\DivX
2008-05-01 16:19 . 2008-05-01 16:19 <REP> d-------- C:\Documents and Settings\enfants\Application Data\uqm
2008-05-01 13:41 . 2008-05-01 13:41 268 --ah----- C:\sqmdata16.sqm
2008-05-01 13:41 . 2008-05-01 13:41 244 --ah----- C:\sqmnoopt16.sqm
2008-05-01 12:15 . 2008-05-01 12:16 <REP> d-------- C:\Program Files\World Of Warcraft
2008-05-01 11:23 . 2008-05-01 11:23 268 --ah----- C:\sqmdata15.sqm
2008-05-01 11:23 . 2008-05-01 11:23 244 --ah----- C:\sqmnoopt15.sqm
2008-05-01 10:44 . 2008-05-01 10:44 <REP> d-------- C:\Program Files\ReflexiveArcade
2008-04-30 01:05 . 2008-04-30 01:05 268 --ah----- C:\sqmdata14.sqm
2008-04-30 01:05 . 2008-04-30 01:05 244 --ah----- C:\sqmnoopt14.sqm
2008-04-29 13:35 . 2008-04-29 13:35 268 --ah----- C:\sqmdata13.sqm
2008-04-29 13:35 . 2008-04-29 13:35 244 --ah----- C:\sqmnoopt13.sqm
2008-04-28 18:53 . 2008-04-28 18:53 268 --ah----- C:\sqmdata12.sqm
2008-04-28 18:53 . 2008-04-28 18:53 244 --ah----- C:\sqmnoopt12.sqm
2008-04-28 14:56 . 2008-04-28 14:56 268 --ah----- C:\sqmdata11.sqm
2008-04-28 14:56 . 2008-04-28 14:56 244 --ah----- C:\sqmnoopt11.sqm
2008-04-28 09:26 . 2008-04-28 09:26 268 --ah----- C:\sqmdata10.sqm
2008-04-28 09:26 . 2008-04-28 09:26 244 --ah----- C:\sqmnoopt10.sqm
2008-04-27 17:17 . 2008-04-27 17:17 268 --ah----- C:\sqmdata09.sqm
2008-04-27 17:17 . 2008-04-27 17:17 244 --ah----- C:\sqmnoopt09.sqm
2008-04-27 16:08 . 2008-04-27 16:08 268 --ah----- C:\sqmdata08.sqm
2008-04-27 16:08 . 2008-04-27 16:08 244 --ah----- C:\sqmnoopt08.sqm
2008-04-27 14:40 . 2008-04-27 14:40 268 --ah----- C:\sqmdata07.sqm
2008-04-27 14:40 . 2008-04-27 14:40 244 --ah----- C:\sqmnoopt07.sqm
2008-04-27 14:18 . 2008-04-27 14:18 268 --ah----- C:\sqmdata06.sqm
2008-04-27 14:18 . 2008-04-27 14:18 244 --ah----- C:\sqmnoopt06.sqm
2008-04-27 14:06 . 2008-04-27 14:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2008-04-27 14:01 . 2008-04-27 14:01 <REP> d-------- C:\WatchNow
2008-04-27 12:03 . 2008-04-27 12:03 268 --ah----- C:\sqmdata05.sqm
2008-04-27 12:03 . 2008-04-27 12:03 244 --ah----- C:\sqmnoopt05.sqm
2008-04-27 09:25 . 2008-04-27 09:25 268 --ah----- C:\sqmdata04.sqm
2008-04-27 09:25 . 2008-04-27 09:25 244 --ah----- C:\sqmnoopt04.sqm
2008-04-26 21:35 . 2008-05-07 15:50 <REP> d-------- C:\WINDOWS\Downloaded Installations
2008-04-26 17:44 . 2008-04-26 17:44 268 --ah----- C:\sqmdata03.sqm
2008-04-26 17:44 . 2008-04-26 17:44 244 --ah----- C:\sqmnoopt03.sqm
2008-04-26 14:09 . 2008-04-26 14:09 268 --ah----- C:\sqmdata02.sqm
2008-04-26 14:09 . 2008-04-26 14:09 244 --ah----- C:\sqmnoopt02.sqm
2008-04-25 18:24 . 2008-04-25 18:24 <REP> d-------- C:\Program Files\OpenAL
2008-04-25 18:24 . 2008-04-25 18:24 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-04-25 18:24 . 2008-04-25 18:24 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-04-22 15:55 . 2008-04-22 15:56 <REP> d-------- C:\Documents and Settings\anne\Application Data\OpenOffice.org2
2008-04-17 13:01 . 2008-04-17 13:04 <REP> d--h----- C:\Program Files\Zero G Registry
2008-04-17 13:00 . 2008-04-17 13:00 <REP> d--h----- C:\Documents and Settings\enfants\InstallAnywhere
2008-04-16 22:07 . 2008-04-16 22:07 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2008-04-16 18:34 . 2008-04-16 18:34 <REP> d-------- C:\Program Files\Zylom Games
2008-04-16 18:34 . 2008-04-16 18:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-04-14 17:41 . 2008-04-14 17:41 <REP> d-------- C:\WINDOWS\.jagex_cache_32
2008-04-12 11:35 . 2008-04-12 11:35 <REP> d-------- C:\Documents and Settings\enfants\Contacts
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-09 16:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-03 15:43 --------- d-----w C:\Documents and Settings\enfants\Application Data\OpenOffice.org2
2008-05-03 15:01 --------- d-----w C:\Program Files\AutoCAD LT 97
2008-05-01 14:23 879,648 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-01 14:23 82,496 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-01 14:23 204,380 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-01 14:23 14,696,224 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-01 11:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-30 06:07 --------- d-----w C:\Documents and Settings\michel\Application Data\OpenOffice.org2
2008-04-28 12:43 --------- d-----w C:\Program Files\Paint Shop Pro
2008-04-26 19:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-18 19:56 --------- d-----w C:\Documents and Settings\michel\Application Data\FileZilla
2008-04-17 12:54 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-04-17 12:54 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-04-16 19:42 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-04-14 19:46 --------- d-----w C:\Documents and Settings\tristan\Application Data\LimeWire
2008-04-06 16:35 --------- d-----w C:\Program Files\Common Files
2008-04-06 15:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-06 11:19 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-04-06 06:48 --------- d-----w C:\Documents and Settings\enfants\Application Data\InterTrust
2008-04-02 18:10 --------- d-----w C:\Documents and Settings\tristan\Application Data\Thunderbird
2008-04-02 18:10 --------- d-----w C:\Documents and Settings\tristan\Application Data\Talkback
2008-03-30 08:37 --------- d-----w C:\Documents and Settings\enfants\Application Data\Talkback
2008-03-30 08:36 --------- d-----w C:\Documents and Settings\enfants\Application Data\Thunderbird
2008-03-29 16:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\YoYoGames
2008-03-29 14:25 --------- d-----w C:\Program Files\Controle Parental
2008-03-29 12:55 --------- d-----w C:\Documents and Settings\tristan\Application Data\vlc
2008-03-28 16:36 --------- d-----w C:\Documents and Settings\michel\Application Data\vlc
2008-03-25 16:05 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-03-24 14:42 --------- d-----w C:\Documents and Settings\enfants\Application Data\vlc
2008-03-24 12:22 2,297,552 ----a-w C:\WINDOWS\d3dx9_26.dll
2008-03-23 10:53 --------- d-----w C:\Documents and Settings\enfants\Application Data\Sonic Foundry
2008-03-23 10:53 --------- d-----w C:\Documents and Settings\enfants\Application Data\Publish Providers
2008-03-23 10:53 --------- d-----w C:\Documents and Settings\enfants\Application Data\NetMedia Providers
2008-03-23 10:48 --------- d-----w C:\Program Files\Sonic Foundry
2008-03-23 10:47 --------- d-----w C:\Program Files\Sonic Foundry Setup
2008-03-22 13:01 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment
2008-03-22 12:05 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-03-22 12:05 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-03-22 12:05 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-03-22 10:30 --------- d-----w C:\Program Files\Sierra On-Line
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-20 17:54 --------- d-----w C:\Program Files\Windows Live
2008-03-20 17:53 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-20 17:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 13:01 --------- d-----w C:\Program Files\OpenOffice.org 2.x
2008-03-19 12:58 --------- d-----w C:\Documents and Settings\Default User\Application Data\OpenOffice.org2
2008-03-19 10:44 --------- d-----w C:\Documents and Settings\michel\Application Data\Talkback
2008-03-19 08:27 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-19 07:39 --------- d-----w C:\Program Files\Java
2008-03-19 07:31 --------- d-----w C:\Program Files\Kaspersky Lab
2008-03-18 22:00 --------- d-----w C:\Program Files\Symantec
2008-03-18 22:00 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-03-18 22:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-03-18 21:59 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-18 21:58 --------- d-----w C:\Program Files\FileZilla
2008-03-18 21:56 --------- d-----w C:\Program Files\a2 free
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 09:02 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2003-03-26 15:28 385,056 ---ha-r C:\Documents and Settings\Administrateur\USER.DAT
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5E06398E-3017-467B-A399-18425A20F655}]
2008-02-17 04:11 36864 --a------ C:\WINDOWS\winhost_app.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"RegistryBooster 2 d’Uniblue "="E:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-09-25 02:01 840511]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" [2008-05-09 19:21 231952]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 10:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 11:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 11:36 114688]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoProfilePage"= 0 (0x0)
"NoPwdPage"= 0 (0x0)
"NoSecCPL"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableLockWorkstation"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAddPrinter"= 0 (0x0)
"NoChangingWallPaper"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoDevMgrUpdate"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)
"NoOptions"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"ForceStartMenuLogoff"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoWinKeys"= 0 (0x0)
"DisablePersonalDirChange"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)
"NoSMBalloonTip"= 0 (0x0)
"NoToolbarCustomize"= 0 (0x0)
"NoBandCustomize"= 0 (0x0)
"nocommongroups"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"D:\\tristan\\World of Warcraft\\Launcher.exe"=
"D:\\tristan\\World of Warcraft\\Wow.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 SSI;SSI;C:\WINDOWS\system32\Drivers\SSI.SYS [2005-12-14 19:06]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ddf7e1f-f9ba-11dc-8c28-000bdbd1e254}]
\Shell\AutoRun\command - G:\nideiect.com
\Shell\explore\Command - G:\nideiect.com
\Shell\open\Command - G:\nideiect.com
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-09 19:31:58
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
C:\WINDOWS\system32\drivers\downld
Scan termin‚ avec succŠs
Les fichiers cach‚s: 1
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
E:\Nicolas\ati\dl\Webroot\Spy Sweeper\WRSSSDK.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-09 19:35:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-09 17:34:59
Pre-Run: 11,608,367,104 octets libres
Post-Run: 12,347,441,152 octets libres
397 --- E O F --- 2008-04-09 10:14:43
-->Message édité par zerid le 10/05/2008 08:44:38<--
|
|
|
|
|
Salut,
Explorateur Windows > Outils > Options des dossiers > Affichage
« Afficher les fichiers cachés » : coché
« Masquer les extensions.. » : décoché
Supprime le répertoire suivant :
C:\WINDOWS\system32\drivers\downld
Télécharge Gmer
Dézippe le dans un dossier ou sur ton bureau.
Déconnecte toi d'Internet puis et ferme tous les programmes.
Double-clique sur Gmer.exe.
NOTE: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clique sur l'onglet rootkit.
A droite, coche Files, Registry et Services.
Clique maintenant sur Scan.
Lorsque le scan est terminé, clique sur Copy.
Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
******************************************************************
Ensuite, Démarrer > Exécuter > tapes : cmd > Valide par OK.
Dans la fenêtre noire qui s'ouvre, recopie chacune des lignes ci dessous en étant très vigilant (syntaxe, espaces entre les mots etc..), une par une, en validant chacune des lignes par la touche Entrée.
NOTE: Si tu as des messages d'erreur lors de la suppression de certains fichiers, ne pas s'inquiéter, cela signifie qu'ils ne sont pas présents sur ta machine.
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\DRIVERS\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\system32\WINTEMS.EXE"
gmer -reboot
Si à la fin le PC ne redémarre pas, fais le toi même.
Explorateur Windows > Outils > Options des dossiers > Affichage
« Afficher les fichiers cachés » : décoché
« Masquer les extensions.. » : coché
@+
|
|
|
|
|
Bon, je n'avais presque aucun des fichiers à supprimer.
Voici le rapport Gmer :
GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-10 13:30:05
Windows 5.1.2600 Service Pack 2
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\Nicolas\daemon tool\dt\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x75 0x04 0x4E 0x2E ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFD 0x29 0x5A 0xE1 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x40 0xB2 0x2F 0x0C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\Nicolas\daemon tool\dt\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x75 0x04 0x4E 0x2E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFD 0x29 0x5A 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x40 0xB2 0x2F 0x0C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\Nicolas\daemon tool\dt\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x75 0x04 0x4E 0x2E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xFD 0x29 0x5A 0xE1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x40 0xB2 0x2F 0x0C ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@RegistryBooster 2 d\x2019Uniblue E:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
---- EOF - GMER 1.0.14 ----
en tout cas mon ordinateur est moins lent depuis tout ça. Maintenant j'ai 70-80 % de processus inactif.
Il est réparé ?
|
|
|
|
|
Ne pars pas trop vite 
Télécharge HijackThis (Trend Micro)
Ferme toutes les applications, lance-le et poste le rapport.
Aide : Comment utiliser HijackThis.
|
|
|
|
|
nouchka, crée toi ton propre sujet 
|
|
|
|
|
non c'est bon, je ne par pas encore ^^
voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:22, on 10/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
E:\Nicolas\ati\dl\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
e:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: winhost_app.winhost_appdll - {5E06398E-3017-467B-A399-18425A20F655} - C:\WINDOWS\winhost_app.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryBooster 2 d’Uniblue ] E:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02ECD07A-22D0-4AF0-BA0A-3F6B06086D08} (GamesCampus Control) - http://xiah.gamescampus.com/luncher/GamesCampus.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {4C563F3F-5621-4F23-BAC8-6B84DCA61AB2} (GoonzuGlobal_downloader Control) - http://cdn.goonzu.com/gscdnSkins/GoonzuGlobal_downloader1222.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Nicolas\ati\dl\Webroot\Spy Sweeper\WRSSSDK.exe
--
End of file - 4823 bytes
ps pour nouchka39 : je ne m'y connais pas trop en sécurité mais je suppose que les étapes proposées doivent être spécifiques à mon cas donc ce n'est pas sur que ça fonctionne chez toi.
crée plutôt un nouveau post. Je suis sur que les gens de ce forum seront à même de t'aider.
édit : tiens d'ailleur, autre bonne nouvelle : je n'ai plus de message d'erreur "ceci n'est pas une application win32 valide" en lançant hijackthis.
-->Message édité par zerid le 10/05/2008 14:36:10<--
|
|
Modérateur/Helper
|
|
|
 Bonjour,
nouchka39,
EDITION MODERATEUR : Règle du forum à respecter :
Crée toi ton propre sujet !
Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)
Merci d'en prendre connaissance.
|
|
|
|
|
Re,
Merci Méri
Désinstalle Ad-aware. Celui ci est très peu performant, sans protection en temps réelle, et pourtant il utilise plus de 20 Mo de ram ! L'intérêt de le garder ? Aucun ! -> Désinstalle le via Ajout/Suppression de programme.
Fais un scan Bitdefender en suivant ce tuto et poste le rapport :
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId406812
@+
-->Message édité par Elfen Lied le 10/05/2008 14:38:14<--
|
|
|
|
|
j'ai un message d'erreur après la tentative de téléchargement du control active x :
this web site is not authorized to host ActiveX control.
please contact the webmaster of this web site, or report to bitdefender at the e-mail address :
scanonline@bitdefender.com
-->Message édité par zerid le 10/05/2008 14:51:54<--
|
|
|
|
|
Dans ce cas,
Fais un scan en ligne Kaspersky avec Internet Explorer :
Clique sur 
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Tuto sur le scan en ligne
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
@+
|
|
|
|
|
bon, j'ai démarré le scan mais c'est très lent.
13% en 38 minutes.
C'est normal ? ça accélère après ?
édit : non c'est bon, ça s'est accéléré c'est passé à 63% d'un coup. (j'avais peur que ça prenne 5 heures en tout  )
-->Message édité par zerid le 10/05/2008 16:36:43<--
|
|
|
|
|
je vais finir par croire que je suis malchanceux.
je n'ai pas obtenu l'écran de fin pour sauver le rapport (http://www.malekal.com/fichiers/scanenligne/Kaspersky6.png)
Deux heures de scan pour rien
(il avait détécté 5 virus et 91 fichiers infectés si ma mémoire est bonne (si ça peut aider ^^))
Je dois le refaire ?
|
|
|
|
|
Oui stp
Sinon, mets à jour ton antivirus (Kaspersky) et fais une analyse avec celui ci et en mode sans échec.
|
|
|
|
|
et les rapports sont pas enregistrés sur le disque dur ?
parce que là ça m'énnerve. J'ai essayé trois fois et j'ai jamais eu le rapport. 
ça peut venir du bloqueur de pop-ups ?
ps : je ne suis pas là en semaine donc la suite devras attendre le week-end prochain
-->Message édité par zerid le 12/05/2008 10:59:39<--
|
|
|
|
|
1
|
|
