Virus hidr.exe srosa.sys [Résolu]
Dernière réponse : dans Sécurité
Bonjour,
tout d'abord je tiens par avance à m'excuser du boulet que je vais certainement être avec vous.
Je ne suis pas du tout habitué à venir errer sur des forums et encore moins à demander de l'aide mais je pense que j'ai un virus.
J'ai étudier dans le détail votre très beau forum.
A chaque fois, on demande aux membres ayant un soucis d'utiliser F-Secure Blacklight et d'envoyer le rapport.
Le voici :
08/25/07 09:21:01 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 09:21:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 09:21:01 [Note]: 7019 4
08/25/07 09:21:01 [Note]: 7005 0
08/25/07 09:21:03 [Note]: 7006 0
08/25/07 09:21:03 [Note]: 7011 1984
08/25/07 09:21:03 [Note]: 7026 0
08/25/07 09:21:03 [Note]: 7026 0
08/25/07 09:21:03 [Note]: 7024 3
08/25/07 09:21:03 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 09:21:08 [Note]: FSRAW library version 1.7.1022
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Note]: 10002 2
08/25/07 09:21:57 [Note]: 10002 2
08/25/07 09:22:28 [Note]: 10002 2
08/25/07 09:22:28 [Note]: 10002 2
08/25/07 09:22:43 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 09:22:43 [Note]: 10002 2
08/25/07 09:22:43 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 09:22:43 [Note]: 10002 2
08/25/07 09:23:22 [Note]: 7007 0
J'ai lu avec intérêt le post de ben31830 et ses échanges avec Sham-Rock.
http://www.infos-du-net.com/forum/271714-11-analyse-hijackthis
J'ai l'impression d'avoir les mêmes ennuis à peu de choses près...
Le dernier message envoyé sur le post indiqué précédemment remonte au 21-08-2007. Nous sommes aujourd'hui le 25/08/2007.
Y'a-t'il des avancées pour détruire ce virus ??
Je suis réellement stressé car je suis en train de rédiger ma thèse et j'ai un peu beaucoup les boules de n'avoir pas fait de sauvegarde depuis 15jours !!!
Merci à vous les super-héros de ce forum de me venir en aide.
tout d'abord je tiens par avance à m'excuser du boulet que je vais certainement être avec vous.
Je ne suis pas du tout habitué à venir errer sur des forums et encore moins à demander de l'aide mais je pense que j'ai un virus.
J'ai étudier dans le détail votre très beau forum.
A chaque fois, on demande aux membres ayant un soucis d'utiliser F-Secure Blacklight et d'envoyer le rapport.
Le voici :
Citation :
08/25/07 09:21:01 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 09:21:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 09:21:01 [Note]: 7019 4
08/25/07 09:21:01 [Note]: 7005 0
08/25/07 09:21:03 [Note]: 7006 0
08/25/07 09:21:03 [Note]: 7011 1984
08/25/07 09:21:03 [Note]: 7026 0
08/25/07 09:21:03 [Note]: 7026 0
08/25/07 09:21:03 [Note]: 7024 3
08/25/07 09:21:03 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 09:21:08 [Note]: FSRAW library version 1.7.1022
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 09:21:57 [Note]: 10002 3
08/25/07 09:21:57 [Note]: 10002 2
08/25/07 09:21:57 [Note]: 10002 2
08/25/07 09:22:28 [Note]: 10002 2
08/25/07 09:22:28 [Note]: 10002 2
08/25/07 09:22:43 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 09:22:43 [Note]: 10002 2
08/25/07 09:22:43 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 09:22:43 [Note]: 10002 2
08/25/07 09:23:22 [Note]: 7007 0
J'ai lu avec intérêt le post de ben31830 et ses échanges avec Sham-Rock.
http://www.infos-du-net.com/forum/271714-11-analyse-hijackthis
J'ai l'impression d'avoir les mêmes ennuis à peu de choses près...
Le dernier message envoyé sur le post indiqué précédemment remonte au 21-08-2007. Nous sommes aujourd'hui le 25/08/2007.
Y'a-t'il des avancées pour détruire ce virus ??
Je suis réellement stressé car je suis en train de rédiger ma thèse et j'ai un peu beaucoup les boules de n'avoir pas fait de sauvegarde depuis 15jours !!!
Merci à vous les super-héros de ce forum de me venir en aide.
Autres pages sur : virus hidr exe srosa sys resolu
Lassé par la pub ? Créez un compte
Bonjour
Télécharge OTMoveIt <- ici
Sauvegarde-le sur ton Bureau
Séléctionne l'encadré ci-dessous , puis Clique droit , puis Copier :
C:\WINDOWS\system32\drivers\hidr.exe
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\srosa.sys
Lance maintenant OTMoveIt en double cliquant sur OTMoveIt.exe
Deux cadres apparaissent , clique droit sur le cadre de gauche , puis Coller
Enfin , clique sur MoveIt![/#f]
[#ff0000]Il est possible qu'il te demande de redemarrer , accepte en cliquant sur YES
Poste le rapport généré ( C:\_OTMoveIt\MovedFiles\ <~~ ici , la date de création ! )
------------------------------------------------
Télécharge SafeBoot.reg <~ Clique ici
Double clique dessus et accepte l'inscription des données
( s'il te le propose , sinon c'est que le safeboot n'est pas endomagé )
------------------------------------------------
Télécharge Hijackthis <- ici sur ton Bureau
lance le programme , clique do a system scan and save a logfile
copie / colle le rapport généré dans ta reponse
>> Tuto HiJackThis v2.0.2 <<
------------------------------------------------------------
Reposte un rapport Blacklight
Bonjour eric71,
merci infiniment de prendre le mal de mon pc à bras le corps.
J'ai réalisé les différents éléments que tu m'as demandé.
J'y ai inséré comme tu me l'as demandé les différents rapports.
A la fin du passage de OTMovelt, je n'ai pas eu de message pour relancer le PC.
Voici le rapport généré par OTMovelt :
C:\WINDOWS\system32\drivers\hidr.exe moved successfully.
c:\WINDOWS\system32\drivers\srosa.sys moved successfully.
Created on 08/25/2007 11:32:25
Voici le rapport généré par Hijackthis.log :
Scan saved at 11:35:02, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\drivers\hidr.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scann...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 7764 bytes
Voici le nouveau rapport de Blacklight :
08/25/07 11:36:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 11:36:48 [Note]: 7019 4
08/25/07 11:36:48 [Note]: 7005 0
08/25/07 11:36:50 [Note]: 7006 0
08/25/07 11:36:50 [Note]: 7011 132
08/25/07 11:36:50 [Note]: 7026 0
08/25/07 11:36:50 [Note]: 7026 0
08/25/07 11:36:50 [Note]: 7024 3
08/25/07 11:36:50 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 11:36:50 [Note]: 7024 3
08/25/07 11:36:50 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 11:36:54 [Note]: FSRAW library version 1.7.1022
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Note]: 10002 2
08/25/07 11:37:35 [Note]: 10002 2
08/25/07 11:38:02 [Note]: 10002 2
08/25/07 11:38:02 [Note]: 10002 2
08/25/07 11:38:30 [Note]: 7002 0
08/25/07 11:38:30 [Note]: 7003 1
08/25/07 11:39:18 [Note]: 7007 0
Je ne touche à rien, j'attends tes nouvelles directives.
![:jap:]( ":jap:")
En tout cas, je te le redis, merci infiniment. ![:jap:]( ":jap:")
merci infiniment de prendre le mal de mon pc à bras le corps.
J'ai réalisé les différents éléments que tu m'as demandé.
J'y ai inséré comme tu me l'as demandé les différents rapports.
A la fin du passage de OTMovelt, je n'ai pas eu de message pour relancer le PC.
Voici le rapport généré par OTMovelt :
Citation :
C:\WINDOWS\system32\drivers\hidr.exe moved successfully.
c:\WINDOWS\system32\drivers\srosa.sys moved successfully.
Created on 08/25/2007 11:32:25
Voici le rapport généré par Hijackthis.log :
Citation :
Logfile of Trend Micro HijackThis v2.0.2Scan saved at 11:35:02, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\drivers\hidr.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scann...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 7764 bytes
Voici le nouveau rapport de Blacklight :
Citation :
08/25/07 11:36:48 [Info]: BlackLight Engine 1.0.64 initialized08/25/07 11:36:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 11:36:48 [Note]: 7019 4
08/25/07 11:36:48 [Note]: 7005 0
08/25/07 11:36:50 [Note]: 7006 0
08/25/07 11:36:50 [Note]: 7011 132
08/25/07 11:36:50 [Note]: 7026 0
08/25/07 11:36:50 [Note]: 7026 0
08/25/07 11:36:50 [Note]: 7024 3
08/25/07 11:36:50 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 11:36:50 [Note]: 7024 3
08/25/07 11:36:50 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 11:36:54 [Note]: FSRAW library version 1.7.1022
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 11:37:35 [Note]: 10002 3
08/25/07 11:37:35 [Note]: 10002 2
08/25/07 11:37:35 [Note]: 10002 2
08/25/07 11:38:02 [Note]: 10002 2
08/25/07 11:38:02 [Note]: 10002 2
08/25/07 11:38:30 [Note]: 7002 0
08/25/07 11:38:30 [Note]: 7003 1
08/25/07 11:39:18 [Note]: 7007 0
Je ne touche à rien, j'attends tes nouvelles directives.
En tout cas, je te le redis, merci infiniment. il ne reste plus que les processus
Relance Hijackthis , clique sur Open the Misc Tools Section
Clique sur Open process manager
Fais un clique sur ce processus : C:\WINDOWS\system32\drivers\hidr.exe
cela va le mettre en surbrillance
Clique maintenant sur Kill process
Puis recommence avec le deuxième ( si présent ) C:\WINDOWS\system32\drivers\hidr.exe
-------------------------------------------------------------------------
Redémarre ton PC et refais un scan Blacklight
Eric71, j'ai fait tout ce que tu m'as indiqué dans ton dernier message.
Voici le rapport de Blacklight après avoir redémarré le PC :
08/25/07 12:50:23 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 12:50:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 12:50:23 [Note]: 7019 4
08/25/07 12:50:23 [Note]: 7005 0
08/25/07 12:50:26 [Note]: 7006 0
08/25/07 12:50:26 [Note]: 7011 200
08/25/07 12:50:26 [Note]: 7026 0
08/25/07 12:50:26 [Note]: 7026 0
08/25/07 12:50:26 [Note]: 7024 3
08/25/07 12:50:26 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 12:50:33 [Note]: FSRAW library version 1.7.1022
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Note]: 10002 2
08/25/07 12:51:50 [Note]: 10002 2
08/25/07 12:52:31 [Note]: 10002 2
08/25/07 12:52:31 [Note]: 10002 2
08/25/07 12:52:51 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 12:52:51 [Note]: 10002 2
08/25/07 12:52:51 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 12:52:51 [Note]: 10002 2
08/25/07 12:53:19 [Note]: 7007 0
J'ai l'amer impression que c'est la même chose que lors du premier rapport BlackLight....
Que faire maintenant ????
Voici le rapport de Blacklight après avoir redémarré le PC :
Citation :
08/25/07 12:50:23 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 12:50:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 12:50:23 [Note]: 7019 4
08/25/07 12:50:23 [Note]: 7005 0
08/25/07 12:50:26 [Note]: 7006 0
08/25/07 12:50:26 [Note]: 7011 200
08/25/07 12:50:26 [Note]: 7026 0
08/25/07 12:50:26 [Note]: 7026 0
08/25/07 12:50:26 [Note]: 7024 3
08/25/07 12:50:26 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 12:50:33 [Note]: FSRAW library version 1.7.1022
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 12:51:50 [Note]: 10002 3
08/25/07 12:51:50 [Note]: 10002 2
08/25/07 12:51:50 [Note]: 10002 2
08/25/07 12:52:31 [Note]: 10002 2
08/25/07 12:52:31 [Note]: 10002 2
08/25/07 12:52:51 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 12:52:51 [Note]: 10002 2
08/25/07 12:52:51 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 12:52:51 [Note]: 10002 2
08/25/07 12:53:19 [Note]: 7007 0
J'ai l'amer impression que c'est la même chose que lors du premier rapport BlackLight....
Que faire maintenant ????
il sont encore là
Séléctionne l'encadré ci dessous en entier , puis clique droit , choisis Copier
@echo off
if exist %systemdrive%\NewBg.txt del %systemdrive%\NewBg.txt
cd %windir%\system32
echo ---------sys------------>>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.exe>>%systemdrive%\NewBg.txt
echo ---------sys------------>>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.sys>>%systemdrive%\NewBg.txt
cd %windir%\system32\drivers
echo ---------driv------------->>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.exe>>%systemdrive%\NewBg.txt
echo ---------driv------------->>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.sys>>%systemdrive%\NewBg.txt
notepad %systemdrive%\NewBg.txt
exit
if exist %systemdrive%\NewBg.txt del %systemdrive%\NewBg.txt
cd %windir%\system32
echo ---------sys------------>>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.exe>>%systemdrive%\NewBg.txt
echo ---------sys------------>>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.sys>>%systemdrive%\NewBg.txt
cd %windir%\system32\drivers
echo ---------driv------------->>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.exe>>%systemdrive%\NewBg.txt
echo ---------driv------------->>%systemdrive%\NewBg.txt
dir /b /a-r /a-h /a-s *.sys>>%systemdrive%\NewBg.txt
notepad %systemdrive%\NewBg.txt
exit
Puis , menu Démarrer / Executer , tape cmd et valide par OK
fais un clique droit dans la fenêtre noire et choisis Coller
colle moi le rapport ( normal si il est long )
eric71, voici le rapport publié dans NewBg.txt :
accwiz.exe
actmovie.exe
ahui.exe
alg.exe
append.exe
arp.exe
aswBoot.exe
at.exe
atmadm.exe
attrib.exe
auditusr.exe
autochk.exe
autoconv.exe
autofmt.exe
autolfn.exe
blastcln.exe
bootok.exe
bootvrfy.exe
cacls.exe
calc.exe
charmap.exe
chkntfs.exe
cidaemon.exe
cisvc.exe
ckcnv.exe
cleanmgr.exe
CleanUp.exe
cliconfg.exe
clipbrd.exe
clipsrv.exe
clspack.exe
cmd.exe
cmdl32.exe
cmmon32.exe
cmstp.exe
comp.exe
compact.exe
conime.exe
control.exe
convert.exe
cscript.exe
csrss.exe
ctfmon.exe
dcomcnfg.exe
ddeshare.exe
debug.exe
defrag.exe
dfrgfat.exe
dfrgntfs.exe
diantz.exe
diskpart.exe
diskperf.exe
dllhost.exe
dllhst3g.exe
dmadmin.exe
dmremote.exe
doskey.exe
dosx.exe
dplaysvr.exe
dpnsvr.exe
dpvsetup.exe
drmupgds.exe
drwatson.exe
drwtsn32.exe
DSndUp.exe
dumprep.exe
dvdplay.exe
dvdupgrd.exe
dwwin.exe
dxdiag.exe
edlin.exe
esentutl.exe
eudcedit.exe
eventvwr.exe
exe2bin.exe
expand.exe
extrac32.exe
fastopen.exe
fc.exe
find.exe
findstr.exe
finger.exe
fixmapi.exe
fltmc.exe
fontview.exe
forcedos.exe
freecell.exe
fsquirt.exe
fsutil.exe
ftp.exe
FTRTSVC.exe
gdi.exe
grpconv.exe
help.exe
hostname.exe
ie4uinit.exe
ieudinit.exe
iexpress.exe
imapi.exe
ipconfig.exe
ipsec6.exe
ipv6.exe
ipxroute.exe
java.exe
javaw.exe
javaws.exe
jdbgmgr.exe
jview.exe
keystone.exe
krnl386.exe
label.exe
lights.exe
lnkstub.exe
locator.exe
lodctr.exe
logagent.exe
logman.exe
logoff.exe
logonui.exe
lpq.exe
lpr.exe
lsass.exe
magnify.exe
makecab.exe
MAPISRVR.EXE
mem.exe
migpwd.exe
mmc.exe
mnmsrvc.exe
mobsync.exe
mountvol.exe
mplay32.exe
mpnotify.exe
mrinfo.exe
MRT.exe
mscdexnt.exe
msdtc.exe
msfeedssync.exe
msg.exe
mshearts.exe
mshta.exe
msiexec.exe
mspaint.exe
msswchx.exe
mstinit.exe
mstsc.exe
narrator.exe
nbtstat.exe
nddeapir.exe
net.exe
net1.exe
netdde.exe
netsetup.exe
netsh.exe
netstat.exe
nlsfunc.exe
notepad.exe
nslookup.exe
ntbackup.exe
ntkrnlpa.exe
ntoskrnl.exe
ntsd.exe
ntvdm.exe
nvappbar.exe
nvcolor.exe
nvdspsch.exe
nvsvc32.exe
nvudisp.exe
nwiz.exe
odbcad32.exe
odbcconf.exe
osk.exe
osuninst.exe
packager.exe
pathping.exe
pentnt.exe
perfmon.exe
ping.exe
ping6.exe
pintool.exe
powercfg.exe
print.exe
PRISMSVR.exe
progman.exe
proquota.exe
proxycfg.exe
pxhpinst.exe
qappsrv.exe
qprocess.exe
qwinsta.exe
rasautou.exe
rasdial.exe
rasphone.exe
rcimlby.exe
rcp.exe
rdpclip.exe
rdsaddin.exe
rdshost.exe
recover.exe
redir.exe
reg.exe
regedt32.exe
regini.exe
regsvr32.exe
regwiz.exe
replace.exe
reset.exe
rexec.exe
route.exe
routemon.exe
rsh.exe
rsm.exe
rsmsink.exe
rsmui.exe
rsvp.exe
rtcshare.exe
runas.exe
rundll32.exe
runonce.exe
rwinsta.exe
savedump.exe
sc.exe
scardsvr.exe
sdbinst.exe
services.exe
sessmgr.exe
sethc.exe
setup.exe
setver.exe
sfc.exe
shadow.exe
share.exe
shmgrate.exe
shrpubw.exe
shutdown.exe
sigverif.exe
skeys.exe
smbinst.exe
smlogsvc.exe
smss.exe
sndrec32.exe
sndvol32.exe
sol.exe
sort.exe
spider.exe
spnpinst.exe
spoolsv.exe
sprestrt.exe
spupdsvc.exe
stimon.exe
subst.exe
svchost.exe
syncapp.exe
sysedit.exe
syskey.exe
sysocmgr.exe
systray.exe
taskman.exe
taskmgr.exe
tcmsetup.exe
tcpsvcs.exe
telnet.exe
tftp.exe
tourstart.exe
tracert.exe
tracert6.exe
tscon.exe
tscupgrd.exe
tsdiscon.exe
tskill.exe
tsshutdn.exe
tzchange.exe
unlodctr.exe
upnpcont.exe
ups.exe
user.exe
userinit.exe
usrmlnka.exe
usrprbda.exe
usrshuta.exe
utilman.exe
uwdf.exe
verclsid.exe
verifier.exe
vssadmin.exe
vssvc.exe
w32tm.exe
wdfmgr.exe
wextract.exe
WgaTray.exe
wiaacmgr.exe
winchat.exe
WinFXDocObj.exe
winhlp32.exe
winlogon.exe
winmine.exe
winmsd.exe
winspool.exe
winver.exe
wjview.exe
wowdeb.exe
wowexec.exe
wpabaln.exe
wpdshextautoplay.exe
wpnpinst.exe
write.exe
wscntfy.exe
wscript.exe
wuauclt.exe
wuauclt1.exe
WudfHost.exe
wupdmgr.exe
xcopy.exe
---------sys------------
ansi.sys
country.sys
himem.sys
key01.sys
keyboard.sys
ntdos.sys
ntdos404.sys
ntdos411.sys
ntdos412.sys
ntdos804.sys
ntio.sys
ntio404.sys
ntio411.sys
ntio412.sys
ntio804.sys
PCANDIS5.sys
watchdog.sys
win32k.sys
---------driv-------------
hidr.exe
---------driv-------------
aavmker4.sys
acpi.sys
acpiec.sys
aeaudio.sys
aec.sys
afd.sys
AGP440.SYS
amdk6.sys
amdk7.sys
arp1394.sys
ASUSHWIO.SYS
aswmon.sys
aswmon2.sys
aswRdr.sys
aswTdi.sys
asyncmac.sys
atapi.sys
atkkbnt.sys
atmarpc.sys
atmepvc.sys
atmlane.sys
atmuni.sys
atwpkt2.sys
atwpkt264.sys
audstub.sys
b57xp32.sys
BCMWL5.SYS
beep.sys
bridge.sys
cbidf2k.sys
cdaudio.sys
cdfs.sys
cdr4_xp.sys
cdralw2k.sys
cdrom.sys
cinemst2.sys
classpnp.sys
cpqdap01.sys
crusoe.sys
disk.sys
diskdump.sys
dmboot.sys
dmio.sys
dmload.sys
DMusic.sys
drmk.sys
drmkaud.sys
dxapi.sys
dxg.sys
dxgthk.sys
EIO.sys
fastfat.sys
fdc.sys
fips.sys
flpydisk.sys
fltmgr.sys
fsvga.sys
fs_rec.sys
ftdisk.sys
FVNETD50.SYS
FVNETD51.SYS
FVNETE50.SYS
FVNETE51.SYS
gameenum.sys
hidclass.sys
hidparse.sys
hidusb.sys
HSFBS2S2.sys
HSFCXTS2.sys
HSFDPSP2.sys
http.sys
i8042prt.sys
IdeBusDr.sys
IdeChnDr.sys
ikfilesec.sys
iksysflt.sys
iksyssec.sys
imapi.sys
intelide.sys
intelppm.sys
ip6fw.sys
ipfltdrv.sys
ipinip.sys
ipnat.sys
ipsec.sys
irenum.sys
isapnp.sys
kbdclass.sys
kbdhid.sys
kbmwcmmsmtih.sys
kcom.sys
kmixer.sys
ks.sys
ksecdd.sys
mcd.sys
mdmxsdk.sys
mf.sys
mnmdd.sys
modem.sys
mouclass.sys
mouhid.sys
mountmgr.sys
MpFirewall.sys
mrxdav.sys
mrxsmb.sys
msfs.sys
msgpc.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
mssmbios.sys
mup.sys
ndis.sys
ndistapi.sys
ndisuio.sys
ndiswan.sys
ndproxy.sys
netbios.sys
netbt.sys
nic1394.sys
nikedrv.sys
nmnt.sys
npfs.sys
ntfs.sys
null.sys
nv4_mini.sys
nwlnkflt.sys
nwlnkfwd.sys
nwlnkipx.sys
nwlnknb.sys
nwlnkspx.sys
oprghdlr.sys
p3.sys
parport.sys
partmgr.sys
parvdm.sys
pci.sys
pciide.sys
pciidex.sys
pcmcia.sys
pfc.sys
portcls.sys
PRISMA02.sys
processr.sys
psched.sys
ptilink.sys
pxhelp20.sys
rasacd.sys
rasl2tp.sys
raspppoe.sys
raspptp.sys
raspti.sys
rawwan.sys
rdbss.sys
rdpcdd.sys
rdpdr.sys
rdpwd.sys
redbook.sys
RESC_DWB.SYS
rio8drv.sys
riodrv.sys
rmcast.sys
rndismp.sys
rootmdm.sys
scsiport.sys
sdbus.sys
SDTHOOK.SYS
secdrv.sys
serenum.sys
serial.sys
sffdisk.sys
sffp_sd.sys
sfloppy.sys
smclib.sys
smsens.sys
smwdm.sys
sonydcam.sys
splitter.sys
sr.sys
srv.sys
stream.sys
swenum.sys
swmidi.sys
sysaudio.sys
tape.sys
tcpip.sys
tcpip6.sys
tdi.sys
tdpipe.sys
tdtcp.sys
termdd.sys
tosdvd.sys
tsbvcap.sys
tunmp.sys
udfs.sys
update.sys
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbccgp.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbport.sys
usbscan.sys
USBSTOR.SYS
usbuhci.sys
vdmindvd.sys
vga.sys
videoprt.sys
VNET5A8.SYS
VNET5A8X.SYS
VNETU9XR.SYS
VNETUSBR.SYS
volsnap.sys
wanarp.sys
wanatw4.sys
wdmaud.sys
wmilib.sys
wpdusb.sys
ws2ifsl.sys
WudfPf.sys
WudfRd.sys
Pour moi c'est un mélange d'egyptien coupé de chinois![:lol:]( ":lol:")
Merci beaucoup beaucoup !!!
Citation :
---------sys------------accwiz.exe
actmovie.exe
ahui.exe
alg.exe
append.exe
arp.exe
aswBoot.exe
at.exe
atmadm.exe
attrib.exe
auditusr.exe
autochk.exe
autoconv.exe
autofmt.exe
autolfn.exe
blastcln.exe
bootok.exe
bootvrfy.exe
cacls.exe
calc.exe
charmap.exe
chkntfs.exe
cidaemon.exe
cisvc.exe
ckcnv.exe
cleanmgr.exe
CleanUp.exe
cliconfg.exe
clipbrd.exe
clipsrv.exe
clspack.exe
cmd.exe
cmdl32.exe
cmmon32.exe
cmstp.exe
comp.exe
compact.exe
conime.exe
control.exe
convert.exe
cscript.exe
csrss.exe
ctfmon.exe
dcomcnfg.exe
ddeshare.exe
debug.exe
defrag.exe
dfrgfat.exe
dfrgntfs.exe
diantz.exe
diskpart.exe
diskperf.exe
dllhost.exe
dllhst3g.exe
dmadmin.exe
dmremote.exe
doskey.exe
dosx.exe
dplaysvr.exe
dpnsvr.exe
dpvsetup.exe
drmupgds.exe
drwatson.exe
drwtsn32.exe
DSndUp.exe
dumprep.exe
dvdplay.exe
dvdupgrd.exe
dwwin.exe
dxdiag.exe
edlin.exe
esentutl.exe
eudcedit.exe
eventvwr.exe
exe2bin.exe
expand.exe
extrac32.exe
fastopen.exe
fc.exe
find.exe
findstr.exe
finger.exe
fixmapi.exe
fltmc.exe
fontview.exe
forcedos.exe
freecell.exe
fsquirt.exe
fsutil.exe
ftp.exe
FTRTSVC.exe
gdi.exe
grpconv.exe
help.exe
hostname.exe
ie4uinit.exe
ieudinit.exe
iexpress.exe
imapi.exe
ipconfig.exe
ipsec6.exe
ipv6.exe
ipxroute.exe
java.exe
javaw.exe
javaws.exe
jdbgmgr.exe
jview.exe
keystone.exe
krnl386.exe
label.exe
lights.exe
lnkstub.exe
locator.exe
lodctr.exe
logagent.exe
logman.exe
logoff.exe
logonui.exe
lpq.exe
lpr.exe
lsass.exe
magnify.exe
makecab.exe
MAPISRVR.EXE
mem.exe
migpwd.exe
mmc.exe
mnmsrvc.exe
mobsync.exe
mountvol.exe
mplay32.exe
mpnotify.exe
mrinfo.exe
MRT.exe
mscdexnt.exe
msdtc.exe
msfeedssync.exe
msg.exe
mshearts.exe
mshta.exe
msiexec.exe
mspaint.exe
msswchx.exe
mstinit.exe
mstsc.exe
narrator.exe
nbtstat.exe
nddeapir.exe
net.exe
net1.exe
netdde.exe
netsetup.exe
netsh.exe
netstat.exe
nlsfunc.exe
notepad.exe
nslookup.exe
ntbackup.exe
ntkrnlpa.exe
ntoskrnl.exe
ntsd.exe
ntvdm.exe
nvappbar.exe
nvcolor.exe
nvdspsch.exe
nvsvc32.exe
nvudisp.exe
nwiz.exe
odbcad32.exe
odbcconf.exe
osk.exe
osuninst.exe
packager.exe
pathping.exe
pentnt.exe
perfmon.exe
ping.exe
ping6.exe
pintool.exe
powercfg.exe
print.exe
PRISMSVR.exe
progman.exe
proquota.exe
proxycfg.exe
pxhpinst.exe
qappsrv.exe
qprocess.exe
qwinsta.exe
rasautou.exe
rasdial.exe
rasphone.exe
rcimlby.exe
rcp.exe
rdpclip.exe
rdsaddin.exe
rdshost.exe
recover.exe
redir.exe
reg.exe
regedt32.exe
regini.exe
regsvr32.exe
regwiz.exe
replace.exe
reset.exe
rexec.exe
route.exe
routemon.exe
rsh.exe
rsm.exe
rsmsink.exe
rsmui.exe
rsvp.exe
rtcshare.exe
runas.exe
rundll32.exe
runonce.exe
rwinsta.exe
savedump.exe
sc.exe
scardsvr.exe
sdbinst.exe
services.exe
sessmgr.exe
sethc.exe
setup.exe
setver.exe
sfc.exe
shadow.exe
share.exe
shmgrate.exe
shrpubw.exe
shutdown.exe
sigverif.exe
skeys.exe
smbinst.exe
smlogsvc.exe
smss.exe
sndrec32.exe
sndvol32.exe
sol.exe
sort.exe
spider.exe
spnpinst.exe
spoolsv.exe
sprestrt.exe
spupdsvc.exe
stimon.exe
subst.exe
svchost.exe
syncapp.exe
sysedit.exe
syskey.exe
sysocmgr.exe
systray.exe
taskman.exe
taskmgr.exe
tcmsetup.exe
tcpsvcs.exe
telnet.exe
tftp.exe
tourstart.exe
tracert.exe
tracert6.exe
tscon.exe
tscupgrd.exe
tsdiscon.exe
tskill.exe
tsshutdn.exe
tzchange.exe
unlodctr.exe
upnpcont.exe
ups.exe
user.exe
userinit.exe
usrmlnka.exe
usrprbda.exe
usrshuta.exe
utilman.exe
uwdf.exe
verclsid.exe
verifier.exe
vssadmin.exe
vssvc.exe
w32tm.exe
wdfmgr.exe
wextract.exe
WgaTray.exe
wiaacmgr.exe
winchat.exe
WinFXDocObj.exe
winhlp32.exe
winlogon.exe
winmine.exe
winmsd.exe
winspool.exe
winver.exe
wjview.exe
wowdeb.exe
wowexec.exe
wpabaln.exe
wpdshextautoplay.exe
wpnpinst.exe
write.exe
wscntfy.exe
wscript.exe
wuauclt.exe
wuauclt1.exe
WudfHost.exe
wupdmgr.exe
xcopy.exe
---------sys------------
ansi.sys
country.sys
himem.sys
key01.sys
keyboard.sys
ntdos.sys
ntdos404.sys
ntdos411.sys
ntdos412.sys
ntdos804.sys
ntio.sys
ntio404.sys
ntio411.sys
ntio412.sys
ntio804.sys
PCANDIS5.sys
watchdog.sys
win32k.sys
---------driv-------------
hidr.exe
---------driv-------------
aavmker4.sys
acpi.sys
acpiec.sys
aeaudio.sys
aec.sys
afd.sys
AGP440.SYS
amdk6.sys
amdk7.sys
arp1394.sys
ASUSHWIO.SYS
aswmon.sys
aswmon2.sys
aswRdr.sys
aswTdi.sys
asyncmac.sys
atapi.sys
atkkbnt.sys
atmarpc.sys
atmepvc.sys
atmlane.sys
atmuni.sys
atwpkt2.sys
atwpkt264.sys
audstub.sys
b57xp32.sys
BCMWL5.SYS
beep.sys
bridge.sys
cbidf2k.sys
cdaudio.sys
cdfs.sys
cdr4_xp.sys
cdralw2k.sys
cdrom.sys
cinemst2.sys
classpnp.sys
cpqdap01.sys
crusoe.sys
disk.sys
diskdump.sys
dmboot.sys
dmio.sys
dmload.sys
DMusic.sys
drmk.sys
drmkaud.sys
dxapi.sys
dxg.sys
dxgthk.sys
EIO.sys
fastfat.sys
fdc.sys
fips.sys
flpydisk.sys
fltmgr.sys
fsvga.sys
fs_rec.sys
ftdisk.sys
FVNETD50.SYS
FVNETD51.SYS
FVNETE50.SYS
FVNETE51.SYS
gameenum.sys
hidclass.sys
hidparse.sys
hidusb.sys
HSFBS2S2.sys
HSFCXTS2.sys
HSFDPSP2.sys
http.sys
i8042prt.sys
IdeBusDr.sys
IdeChnDr.sys
ikfilesec.sys
iksysflt.sys
iksyssec.sys
imapi.sys
intelide.sys
intelppm.sys
ip6fw.sys
ipfltdrv.sys
ipinip.sys
ipnat.sys
ipsec.sys
irenum.sys
isapnp.sys
kbdclass.sys
kbdhid.sys
kbmwcmmsmtih.sys
kcom.sys
kmixer.sys
ks.sys
ksecdd.sys
mcd.sys
mdmxsdk.sys
mf.sys
mnmdd.sys
modem.sys
mouclass.sys
mouhid.sys
mountmgr.sys
MpFirewall.sys
mrxdav.sys
mrxsmb.sys
msfs.sys
msgpc.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
mssmbios.sys
mup.sys
ndis.sys
ndistapi.sys
ndisuio.sys
ndiswan.sys
ndproxy.sys
netbios.sys
netbt.sys
nic1394.sys
nikedrv.sys
nmnt.sys
npfs.sys
ntfs.sys
null.sys
nv4_mini.sys
nwlnkflt.sys
nwlnkfwd.sys
nwlnkipx.sys
nwlnknb.sys
nwlnkspx.sys
oprghdlr.sys
p3.sys
parport.sys
partmgr.sys
parvdm.sys
pci.sys
pciide.sys
pciidex.sys
pcmcia.sys
pfc.sys
portcls.sys
PRISMA02.sys
processr.sys
psched.sys
ptilink.sys
pxhelp20.sys
rasacd.sys
rasl2tp.sys
raspppoe.sys
raspptp.sys
raspti.sys
rawwan.sys
rdbss.sys
rdpcdd.sys
rdpdr.sys
rdpwd.sys
redbook.sys
RESC_DWB.SYS
rio8drv.sys
riodrv.sys
rmcast.sys
rndismp.sys
rootmdm.sys
scsiport.sys
sdbus.sys
SDTHOOK.SYS
secdrv.sys
serenum.sys
serial.sys
sffdisk.sys
sffp_sd.sys
sfloppy.sys
smclib.sys
smsens.sys
smwdm.sys
sonydcam.sys
splitter.sys
sr.sys
srv.sys
stream.sys
swenum.sys
swmidi.sys
sysaudio.sys
tape.sys
tcpip.sys
tcpip6.sys
tdi.sys
tdpipe.sys
tdtcp.sys
termdd.sys
tosdvd.sys
tsbvcap.sys
tunmp.sys
udfs.sys
update.sys
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbccgp.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbport.sys
usbscan.sys
USBSTOR.SYS
usbuhci.sys
vdmindvd.sys
vga.sys
videoprt.sys
VNET5A8.SYS
VNET5A8X.SYS
VNETU9XR.SYS
VNETUSBR.SYS
volsnap.sys
wanarp.sys
wanatw4.sys
wdmaud.sys
wmilib.sys
wpdusb.sys
ws2ifsl.sys
WudfPf.sys
WudfRd.sys
Pour moi c'est un mélange d'egyptien coupé de chinois
Merci beaucoup beaucoup !!!
clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :
et enfin clique sur OK
Sélectionne entièrement le contenu du cadre ci-dessous :
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
Puis clique droit , choisis Copier
Ouvre le Bloc-Note , clique droit , choisis Coller afin de coller le contenu du cadre ci-dessus
Vérifie qu'il ne manque aucune ligne avant de continuer !
Enregistre le fichier sur ton bureau , nomme le remove.txt
Télécharge The Avenger <- ici
Dézippe le contenu de l'archive sur ton bureau et pas ailleurs !
Double-clique sur avenger.exe et clique sur Ok
Sélectionne Load Script from File et clique sur l'icône en forme de dossier
Sélectionne le fichier remove.txt qui est sur ton bureau
Clique sur le feu vert pour lancer le script puis Clique sur Oui
Accepte de redémarrer ton pc
Une fois redémarré , Copie / Colle le rapport généré ( C:\avenger.txt )
ATTENTION , ci vous n'êtes pas la personne concernée , n'appliquez EN AUCUN CAS cette procédure , vous risqueriez d'endommager votre PC !!
Reposte un rapport Blacklight
Eric71,
Voici les rapports après les dernières opérations que tu m'as demandé d'excécuter.
Tout d'abord, le rapport avenger.txt :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wwaxdtcl
*******************
Script file located at: \??\C:\WINDOWS\aeopqugx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Puis le rapport de BlackLight :
08/25/07 14:46:49 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 14:46:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 14:46:49 [Note]: 7019 4
08/25/07 14:46:49 [Note]: 7005 0
08/25/07 14:46:53 [Note]: 7006 0
08/25/07 14:46:53 [Note]: 7011 140
08/25/07 14:46:53 [Note]: 7026 0
08/25/07 14:46:54 [Note]: 7026 0
08/25/07 14:46:54 [Note]: 7024 3
08/25/07 14:46:54 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 14:46:54 [Note]: 7024 3
08/25/07 14:46:54 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 14:46:58 [Note]: FSRAW library version 1.7.1022
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Note]: 10002 2
08/25/07 14:47:49 [Note]: 10002 2
08/25/07 14:48:18 [Note]: 10002 2
08/25/07 14:48:18 [Note]: 10002 2
08/25/07 14:48:33 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 14:48:33 [Note]: 10002 2
08/25/07 14:48:33 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 14:48:33 [Note]: 10002 2
08/25/07 14:49:08 [Note]: 7007 0
Les cochonneries sont toujours présentes !!!
Aille aille aille !!!!
Que faire maintenant ????
Merci infiniment une nouvelle fois
Voici les rapports après les dernières opérations que tu m'as demandé d'excécuter.
Tout d'abord, le rapport avenger.txt :
Citation :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wwaxdtcl
*******************
Script file located at: \??\C:\WINDOWS\aeopqugx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\drivers\hidr.exe deleted successfully.
File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Puis le rapport de BlackLight :
Citation :
08/25/07 14:46:49 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 14:46:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 14:46:49 [Note]: 7019 4
08/25/07 14:46:49 [Note]: 7005 0
08/25/07 14:46:53 [Note]: 7006 0
08/25/07 14:46:53 [Note]: 7011 140
08/25/07 14:46:53 [Note]: 7026 0
08/25/07 14:46:54 [Note]: 7026 0
08/25/07 14:46:54 [Note]: 7024 3
08/25/07 14:46:54 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 14:46:54 [Note]: 7024 3
08/25/07 14:46:54 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 14:46:58 [Note]: FSRAW library version 1.7.1022
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 14:47:49 [Note]: 10002 3
08/25/07 14:47:49 [Note]: 10002 2
08/25/07 14:47:49 [Note]: 10002 2
08/25/07 14:48:18 [Note]: 10002 2
08/25/07 14:48:18 [Note]: 10002 2
08/25/07 14:48:33 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 14:48:33 [Note]: 10002 2
08/25/07 14:48:33 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 14:48:33 [Note]: 10002 2
08/25/07 14:49:08 [Note]: 7007 0
Les cochonneries sont toujours présentes !!!
Aille aille aille !!!!
Que faire maintenant ????
Merci infiniment une nouvelle fois
Citation :
Les cochonneries sont toujours présentes !!! Même après Avenger
, ça devient compliquéça cache certainement autre chose
on va chercher ( la fenêtre noir restera plusieures minutes ouverte avant apparition du rapport )
Séléctionne l'encadré ci dessous en entier , puis clique droit , choisis Copier
@echo off
if exist %systemdrive%\NewBg.txt del %systemdrive%\NewBg.txt
set var1=hidr.exe
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var1%$"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var2=srosa.sys
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var2%$"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var3=hldrrr
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var3%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var4=ban_list
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var4%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var5=witems
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var5%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var6=hidires
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var6%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
notepad %systemdrive%\NewBg.txt
if exist %systemdrive%\NewBg.txt del %systemdrive%\NewBg.txt
set var1=hidr.exe
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var1%$"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var2=srosa.sys
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var2%$"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var3=hldrrr
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var3%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var4=ban_list
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var4%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var5=witems
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var5%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
set var6=hidires
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var6%"') do (
echo %%X >>%systemdrive%\NewBg.txt
)
notepad %systemdrive%\NewBg.txt
Puis , colle le dans le Bloc-notes et enregistre le sur ton bureau
nomme le recherche.bat
Double clique sur recherche.bat
Colle moi le rapport
Eric, je pense qu'il y a un p'tit soucis car lorsque je colle dans la fenêtre noire tes lignes de commande, j'obtiens sur certaines lignes des messages étranges (en gras ci-dessous).
Lorsque je colle tes lignes de script dans la fenêtre noire, voici ce que j'obtiens dans la fenêtre noire :
if exist %systemdrive%\NewBg.txt del %systemdrive%\NewBg.txt
set var1=hidr.exe
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var1
%$"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var2=srosa.sys
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var2
%$"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var3=hldrrr
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var3
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var4=ban_list
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var4
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var5=witems
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var5
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var6=hidires
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var6
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
notepad %systemdrive%\NewBg.txt
Voici le rapport que j'obtiens dans NewBg.txt :
%%X
%%X
%%X
%%X
%%X
Lorsque je colle tes lignes de script dans la fenêtre noire, voici ce que j'obtiens dans la fenêtre noire :
Citation :
@echo offif exist %systemdrive%\NewBg.txt del %systemdrive%\NewBg.txt
set var1=hidr.exe
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var1
%$"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var2=srosa.sys
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var2
%$"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var3=hldrrr
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var3
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var4=ban_list
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var4
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var5=witems
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var5
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
set var6=hidires
for /f "delims=" %%X in ('dir %systemdrive%\ /b /a /s ^| findstr /i /s /m "%var6
%"') do (
%%X était inattendu.
echo %%X >>%systemdrive%\NewBg.txt
)
notepad %systemdrive%\NewBg.txt
Voici le rapport que j'obtiens dans NewBg.txt :
Citation :
%%X %%X
%%X
%%X
%%X
%%X
Voici voilà...
le pc vient de redémarrer et voici le rapport tout chaud de Blacklight![:D]( ":D")
:
08/25/07 15:52:15 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 15:52:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 15:52:16 [Note]: 7019 4
08/25/07 15:52:16 [Note]: 7005 0
08/25/07 15:52:17 [Note]: 7006 0
08/25/07 15:52:17 [Note]: 7011 144
08/25/07 15:52:17 [Note]: 7026 0
08/25/07 15:52:17 [Note]: 7026 0
08/25/07 15:52:17 [Note]: 7024 3
08/25/07 15:52:17 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 15:52:17 [Note]: 7024 3
08/25/07 15:52:17 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 15:52:24 [Note]: FSRAW library version 1.7.1022
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Note]: 10002 2
08/25/07 15:53:19 [Note]: 10002 2
08/25/07 15:53:51 [Note]: 10002 2
08/25/07 15:53:51 [Note]: 10002 2
08/25/07 15:54:07 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 15:54:07 [Note]: 10002 2
08/25/07 15:54:07 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 15:54:07 [Note]: 10002 2
08/25/07 15:54:30 [Note]: 7007 0
Veux-tu que je relance la procédure pour obtenir le rapport dans le fichier NewBg.txt ???
le pc vient de redémarrer et voici le rapport tout chaud de Blacklight
:Citation :
08/25/07 15:52:15 [Info]: BlackLight Engine 1.0.64 initialized
08/25/07 15:52:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 15:52:16 [Note]: 7019 4
08/25/07 15:52:16 [Note]: 7005 0
08/25/07 15:52:17 [Note]: 7006 0
08/25/07 15:52:17 [Note]: 7011 144
08/25/07 15:52:17 [Note]: 7026 0
08/25/07 15:52:17 [Note]: 7026 0
08/25/07 15:52:17 [Note]: 7024 3
08/25/07 15:52:17 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 15:52:17 [Note]: 7024 3
08/25/07 15:52:17 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 15:52:24 [Note]: FSRAW library version 1.7.1022
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 15:53:19 [Note]: 10002 3
08/25/07 15:53:19 [Note]: 10002 2
08/25/07 15:53:19 [Note]: 10002 2
08/25/07 15:53:51 [Note]: 10002 2
08/25/07 15:53:51 [Note]: 10002 2
08/25/07 15:54:07 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 15:54:07 [Note]: 10002 2
08/25/07 15:54:07 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hidr.exe
08/25/07 15:54:07 [Note]: 10002 2
08/25/07 15:54:30 [Note]: 7007 0
Veux-tu que je relance la procédure pour obtenir le rapport dans le fichier NewBg.txt ???
Citation :
Veux-tu que je relance la procédure pour obtenir le rapport dans le fichier NewBg.txt ???Oui , mais fais ça avant de relancer :
Clique sur le menu Demarrer / Panneau de configuration / Options des dossiers / puis dans l'onglet Affichage
- coche Afficher les fichiers et dossiers cachés
- decoche Masquer les fichiers protégés du système d'exploitation ( recommandé )
clique sur Appliquer
J'ai fait les modifications pour l'option des dossiers comme tu me l'as indiqué.
grrrrrrr !!
Voici le rapport de NewBg.txt :
Ils commencent à devenir lourds ces virus maintenant !!!!
grrrrrrr !!
Voici le rapport de NewBg.txt :
Citation :
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\BVPOLLT2\logiciels-infecte-par-wintems-hldrrr-hidr-exe[1].htmIls commencent à devenir lourds ces virus maintenant !!!!
On va essayer autrement
Presse simultanément sur Ctrl + Alt + Suppr
séléctionne ce processus : C:\WINDOWS\system32\drivers\hidr.exe
et chique sur Terminer ( peu importe l'avertissement )
Autant de fois que ce processus est présent
puis clique droit sur menu Démarrer puis Explorer
Navigue jusqu'à ces fichiers et supprime les :
c:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
Eric,
je viens de supprimer avec le Ctrl + Alt + Supp par deux fois le processus :
C:\WINDOWS\system32\drivers\hidr.exe
Par contre, je n'ai pas trouvé dans le chemin que tu m'indiques c:\WINDOWS\system32\driversle fichier srosa.sys.
En revanche, avec clic droit démarrer, rechercher le résultat de recherche m'indique que srosa.sys se trouve dans le chemin suivant : c:\avenger. Or dans ce dossier, je n'ai qu'un fichier backup.zip sans rien d'autre.
Idem pour le fichier hidr.exe. Il ne se trouve pas dans le chemin : c:\WINDOWS\system32\drivers\hidr.exe
En faisant rechercher, il m'indique qu'il se trouve dans le dossier c\avenger.
Pourtant, avec l'explorateur, dans le chemin c\avenger je n'ai toujours que le fichier backup.zip.
J'en perd mon latin.....
Dois-je détruire les deux fichiers : hidr.exe et srosa.sys à partir de ma fenêtre "résultats de recherche" ???
J'attends tes lumières, moi j'en perd mon latin.....
![:pt1cable:]( ":pt1cable:")
![:pt1cable:]( ":pt1cable:")
je viens de supprimer avec le Ctrl + Alt + Supp par deux fois le processus :
C:\WINDOWS\system32\drivers\hidr.exe
Par contre, je n'ai pas trouvé dans le chemin que tu m'indiques c:\WINDOWS\system32\driversle fichier srosa.sys.
En revanche, avec clic droit démarrer, rechercher le résultat de recherche m'indique que srosa.sys se trouve dans le chemin suivant : c:\avenger. Or dans ce dossier, je n'ai qu'un fichier backup.zip sans rien d'autre.
Idem pour le fichier hidr.exe. Il ne se trouve pas dans le chemin : c:\WINDOWS\system32\drivers\hidr.exe
En faisant rechercher, il m'indique qu'il se trouve dans le dossier c\avenger.
Pourtant, avec l'explorateur, dans le chemin c\avenger je n'ai toujours que le fichier backup.zip.
J'en perd mon latin.....
Dois-je détruire les deux fichiers : hidr.exe et srosa.sys à partir de ma fenêtre "résultats de recherche" ???
J'attends tes lumières, moi j'en perd mon latin.....
Supprime ce dossier :
c\avenger
Fais un scan en ligne Kaspersky <- ici avec Internet Explorer
Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail
à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse
Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan
Eric,
J'ai détruit le dossier c:\avenger
puis j'ai nettoyé ma corbeille avec CCleaner (lui il marche encore)
L'analyse de Kaspersky vient d'être lancé.
J'ai fais un rapide calcul.
L'analyse de Kasperky à mis 5minutes pour faire 2% de mon poste de travail.
Il va donc lui falloir 4h10minutes pour tout analyser.
Durant cette interlude, j'ai 2-3 choses à te demander :
--> Mon système d'exploitation a perdu quelques fichiers. Windows XP me demandait de mettre mon cd d'installation. Le problème c'est qu'une fois mis (j'ai le vrai CD la vraie licence...) il m'indique que la version sur ma machine et plus récente.
C'est vrai car j'ai fais refaire ma machine dans une boutique il y a deux ans. Ils m'ont installés la version XP2. Or je n'ai pas le cd d'installation de cette version. Comment vais-je pouvoir faire ?
Je me suis souvenu que j'ai sur mon disque d, un dossier D:\ghost avec 3fichiers ayant des extensions .gho et .ghs. Chaque fichier fait 655mo.
Comment faire pour les utiliser ??
-->J'avais jusqu'à présent avast, windows Defender et MacAfee.
Que me conseilles-tu de prendre ? En version payante ou gratuite si les prestations sont identiques.
Je te remercie infiniment en tout cas.
Je laisse Kaspersky faire (il a trouvé à 5% un virus et 2 fichiers endommagés...)
J'ai détruit le dossier c:\avenger
puis j'ai nettoyé ma corbeille avec CCleaner (lui il marche encore)
L'analyse de Kaspersky vient d'être lancé.
J'ai fais un rapide calcul.
L'analyse de Kasperky à mis 5minutes pour faire 2% de mon poste de travail.
Il va donc lui falloir 4h10minutes pour tout analyser.
Durant cette interlude, j'ai 2-3 choses à te demander :
--> Mon système d'exploitation a perdu quelques fichiers. Windows XP me demandait de mettre mon cd d'installation. Le problème c'est qu'une fois mis (j'ai le vrai CD la vraie licence...) il m'indique que la version sur ma machine et plus récente.
C'est vrai car j'ai fais refaire ma machine dans une boutique il y a deux ans. Ils m'ont installés la version XP2. Or je n'ai pas le cd d'installation de cette version. Comment vais-je pouvoir faire ?
Je me suis souvenu que j'ai sur mon disque d, un dossier D:\ghost avec 3fichiers ayant des extensions .gho et .ghs. Chaque fichier fait 655mo.
Comment faire pour les utiliser ??
-->J'avais jusqu'à présent avast, windows Defender et MacAfee.
Que me conseilles-tu de prendre ? En version payante ou gratuite si les prestations sont identiques.
Je te remercie infiniment en tout cas.
Je laisse Kaspersky faire (il a trouvé à 5% un virus et 2 fichiers endommagés...)
Voici le rapport de Kaspersky.
Je n'ai rien fait de plus pour l'instant....
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, August 25, 2007 6:30:42 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/08/2007
Enregistrements dans la base antivirus Kaspersky : 365662
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
Statistiques de l'analyse:
Total d'objets analysés: 183685
Nombre de virus trouvés: 1
Nombre d'objets infectés: 30 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:35:38
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\zotero\zotero.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\eMule\Incoming\EndNote X 10.0 build 2114 Serial.zip/EndNote X 10.0 build 2114 Serial.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\Program Files\eMule\Incoming\EndNote X 10.0 build 2114 Serial.zip ZIP: infecté - 1 ignoré
C:\Program Files\Wanadoo\Watch.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\Program Files\Windows Media Player\wmpnscfg.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP329\A0063711.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP331\A0063826.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP331\A0063828.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP335\A0064133.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP335\A0064134.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064264.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064266.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064277.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064279.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP337\A0064391.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP337\A0064393.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064450.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064456.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064462.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064468.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064474.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064485.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064487.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064488.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065485.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065487.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065524.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065525.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065538.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065540.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP329\A0063746.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
D:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\change.log L'objet est verrouillé ignoré
Analyse terminée.
Je n'ai rien fait de plus pour l'instant....
Citation :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, August 25, 2007 6:30:42 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/08/2007
Enregistrements dans la base antivirus Kaspersky : 365662
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
Statistiques de l'analyse:
Total d'objets analysés: 183685
Nombre de virus trouvés: 1
Nombre d'objets infectés: 30 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:35:38
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\zotero\zotero.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Application Data\Mozilla\Firefox\Profiles\bim2jnch.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Nicolas\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\eMule\Incoming\EndNote X 10.0 build 2114 Serial.zip/EndNote X 10.0 build 2114 Serial.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\Program Files\eMule\Incoming\EndNote X 10.0 build 2114 Serial.zip ZIP: infecté - 1 ignoré
C:\Program Files\Wanadoo\Watch.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\Program Files\Windows Media Player\wmpnscfg.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP329\A0063711.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP331\A0063826.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP331\A0063828.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP335\A0064133.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP335\A0064134.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064264.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064266.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064277.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP336\A0064279.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP337\A0064391.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP337\A0064393.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064450.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064456.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064462.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064468.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064474.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064485.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064487.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0064488.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065485.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065487.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065524.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065525.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065538.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\A0065540.sys Infecté : Email-Worm.Win32.Bagle.iz ignoré
C:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP329\A0063746.exe Infecté : Email-Worm.Win32.Bagle.iz ignoré
D:\System Volume Information\_restore{EC4A5980-5609-4699-9C87-7A0608CF6A6C}\RP339\change.log L'objet est verrouillé ignoré
Analyse terminée.
il infecte les fichiers .exe
Séléctionne l'encadré ci-dessous , puis Clique droit , puis Copier :
C:\Program Files\eMule\Incoming\EndNote X 10.0 build 2114 Serial.zip
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
Lance maintenant OTMoveIt en double cliquant sur OTMoveIt.exe
Deux cadres apparaissent , clique droit sur le cadre de gauche , puis Coller
Enfin , clique sur MoveIt![/#f]
[#ff0000]Il est possible qu'il te demande de redemarrer , accepte en cliquant sur YES
Poste le rapport généré ( C:\_OTMoveIt\MovedFiles\ <~~ ici , la date de création ! )
--------------------------------------------------
Désactive puis Réactive la réstauration du système comme ceci :
>> Réstauration du Système <<
Citation :
Que me conseilles-tu de prendre ? En version payante ou gratuite si les prestations sont identiquesRegarde dans cette page : > Sécuriser son ordinateur <
Choisis Antivir , fais un scan et poste le rapport
Merci beaucoup Eric, je viens de passer OTMoveIt.exe avec ton script.
Voici le rapport :
C:\Program Files\Wanadoo\Watch.exe moved successfully.
C:\Program Files\Windows Media Player\wmpnscfg.exe moved successfully.
Created on 08/25/2007 22:36:41
En fait, j'ai déjà détruis le dossier C:\Program Files\eMule
J'ai mis le dossier dans la corbeille depuis l'explorateur puis j'ai nettoyé aussitôt la corbeille avec CCleaner.
J'opère de suite la seconde phase, celui de la restauration du système...
J'envoie un message de suite.
Merci encore Eric, c'est vraiment super ce que tu fais !!
Merci merci merci !!!!!
Voici le rapport :
Citation :
File/Folder C:\Program Files\eMule\Incoming\EndNote X 10.0 build 2114 Serial.zip not found.C:\Program Files\Wanadoo\Watch.exe moved successfully.
C:\Program Files\Windows Media Player\wmpnscfg.exe moved successfully.
Created on 08/25/2007 22:36:41
En fait, j'ai déjà détruis le dossier C:\Program Files\eMule
J'ai mis le dossier dans la corbeille depuis l'explorateur puis j'ai nettoyé aussitôt la corbeille avec CCleaner.
J'opère de suite la seconde phase, celui de la restauration du système...
J'envoie un message de suite.
Merci encore Eric, c'est vraiment super ce que tu fais !!
Merci merci merci !!!!!
Je viens de relancer le pc.
J'avais pris soin avant de telecharger antivir.
Avant de relancer ma machine, j'ai essayé d'installer l'antivirus.
J'ai eu une fenêtre m'indiquant que je n'avais pas les droits pour faire cela et qu'il fallait que je redémarre la machine.
Après l'avoir redémarrer même chose.
Je viens de lancer un BlightLight.
Voici le rapport :
08/25/07 22:48:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 22:48:37 [Note]: 7019 4
08/25/07 22:48:37 [Note]: 7005 0
08/25/07 22:48:39 [Note]: 7006 0
08/25/07 22:48:39 [Note]: 7011 312
08/25/07 22:48:39 [Note]: 7026 0
08/25/07 22:48:40 [Note]: 7026 0
08/25/07 22:48:44 [Note]: FSRAW library version 1.7.1022
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Note]: 10002 2
08/25/07 22:49:30 [Note]: 10002 2
08/25/07 22:50:00 [Note]: 10002 2
08/25/07 22:50:00 [Note]: 10002 2
08/25/07 22:50:15 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 22:50:15 [Note]: 10002 2
08/25/07 22:50:15 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
08/25/07 22:50:15 [Note]: 10002 2
08/25/07 22:50:48 [Note]: 7007 0
Y'a nos amis hidr.exe et srosa.sys qui sont de retour...
Je viens de lancer "démarrer rechercher" pour voir où ils sont cachés les vilains !!!!
J'avais pris soin avant de telecharger antivir.
Avant de relancer ma machine, j'ai essayé d'installer l'antivirus.
J'ai eu une fenêtre m'indiquant que je n'avais pas les droits pour faire cela et qu'il fallait que je redémarre la machine.
Après l'avoir redémarrer même chose.
Je viens de lancer un BlightLight.
Voici le rapport :
Citation :
08/25/07 22:48:37 [Info]: BlackLight Engine 1.0.64 initialized08/25/07 22:48:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/25/07 22:48:37 [Note]: 7019 4
08/25/07 22:48:37 [Note]: 7005 0
08/25/07 22:48:39 [Note]: 7006 0
08/25/07 22:48:39 [Note]: 7011 312
08/25/07 22:48:39 [Note]: 7026 0
08/25/07 22:48:40 [Note]: 7026 0
08/25/07 22:48:44 [Note]: FSRAW library version 1.7.1022
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
08/25/07 22:49:30 [Note]: 10002 3
08/25/07 22:49:30 [Note]: 10002 2
08/25/07 22:49:30 [Note]: 10002 2
08/25/07 22:50:00 [Note]: 10002 2
08/25/07 22:50:00 [Note]: 10002 2
08/25/07 22:50:15 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/25/07 22:50:15 [Note]: 10002 2
08/25/07 22:50:15 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
08/25/07 22:50:15 [Note]: 10002 2
08/25/07 22:50:48 [Note]: 7007 0
Y'a nos amis hidr.exe et srosa.sys qui sont de retour...
Je viens de lancer "démarrer rechercher" pour voir où ils sont cachés les vilains !!!!
C'est une vrai plaie ces fichiers , jamais vu autant de resistance
on va utiliser des logiciels puissants ( pas plus que Avenger
)Télécharge ComboFix <- ici
Engegistre le sur ton Bureau
Double clique combofix.exe ( le .exe peut ne pas apparaitre )
Pour demarrer , tape 1 puis valide , attend la fin du scan
Un rapport est généré , Copie / Colle le dans ta réponse
Tu peux aussi trouver ce rapport ici : C:\Combofix.txt
-------------------------------------------------------
Télécharge Jv16 Power Tools <- ici
Lance le , clique sur Outil registre , puis sur l'onglet Outils ( en haut )
Choisis Chercheur du registre
Dans la fenêtre centrale , tape srosa et valide
puis tape hidr et valide
Clique sur Continuer , puis sur Démarrer
Laisse le scanner , puis clique sur l'onglet Fichier ( en haut )
Choisis Sauver la liste sous , Bureau , nomme le Jv.txt
Poste cette liste
Avec ComboFix, je n'ai pas eu de rapport au chemin que tu m'indiques.
Pas contre, à la fermeture de la fenêtre dos, j'ai eu le fichier qui s'est ouvert.
Il me semble que c'est le rapport.
Je te le livre :
ComboFix 07-08-25.2 - "Nicolas" 2007-08-25 23:31:30.1 - NTFS x86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.569 [GMT 2:00]
C:\WINDOWS\system32\chkdsk.exe not present
* Created a new restore point
ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Le fichier spécifié est introuvable.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\exefld
C:\WINDOWS\exefld\1105546.exe
C:\WINDOWS\exefld\220718.exe
C:\WINDOWS\exefld\226078.exe
C:\WINDOWS\exefld\329625.exe
C:\WINDOWS\exefld\70515.exe
C:\WINDOWS\exefld\73453.exe
C:\WINDOWS\exefld\75421.exe
C:\WINDOWS\exefld\79359.exe
C:\WINDOWS\exefld\80437.exe
C:\WINDOWS\exefld\93109.exe
C:\WINDOWS\exefld\94062.exe
C:\WINDOWS\exefld\94687.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\nvs2.inf
((((((((((((((((((((((((( Files Created from 2007-07-25 to 2007-08-25 )))))))))))))))))))))))))))))))
2007-08-25 23:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-25 18:42 <REP> d-------- C:\kav
2007-08-25 16:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-25 10:58 8,576 --a------ C:\WINDOWS\system32\drivers\kbmwcmmsmtih.sys
2007-08-25 10:58 44,672 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-08-25 10:58 <REP> d-------- C:\DOCUME~1\Nicolas\Pavark
2007-08-25 01:54 <REP> d-------- C:\!KillBox
2007-08-25 00:01 <REP> d-------- C:\Program Files\Windows Defender
2007-08-24 23:41 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-08-24 17:03 <REP> d-------- C:\DOCUME~1\Nicolas\APPLIC~1\EndNote
2007-08-24 17:02 <REP> d-------- C:\Program Files\Fichiers communs\Thomson ResearchSoft
2007-08-24 17:02 <REP> d-------- C:\Program Files\Fichiers communs\Risxtd
2007-08-24 17:00 <REP> d-------- C:\Program Files\EndNote X1
2007-08-24 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-08-17 10:40 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-08-17 10:40 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-08-17 10:39 <REP> d-------- C:\Program Files\Picasa2
2007-08-17 10:26 <REP> d-------- C:\Program Files\Photo Story 3 for Windows
2007-08-17 10:21 <REP> d-------- C:\Program Files\Notepad++
2007-08-17 10:21 <REP> d-------- C:\DOCUME~1\Nicolas\APPLIC~1\Notepad++
2007-08-06 22:55 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-08-06 22:55 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-08-06 22:55 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-08-03 08:23 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-08-03 08:22 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-08-03 08:22 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-08-03 08:22 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-08-03 08:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-08-03 08:12 <REP> d-------- C:\WINDOWS\pss
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-25 23:05 --------- d-------- C:\Program Files\Spyware Doctor
2007-08-25 23:05 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
2007-08-25 22:51 --------- d-------- C:\Program Files\Wanadoo
2007-08-22 22:49 --------- d-------- C:\Program Files\Google
2007-08-17 10:21 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-14 17:02 82248 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-14 17:02 57672 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-14 17:02 40264 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-14 17:02 29000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-03 07:38 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\OpenOffice.org2
2007-08-03 07:38 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\OpenOffice.org2
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-23 08:50 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PC Tools
2007-07-12 07:44 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-07-11 07:47 --------- d-------- C:\Program Files\Norton Security Scan
2007-07-06 09:21 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-06 09:21 --------- d-------- C:\Program Files\SAGEM
2007-07-06 09:05 --------- d-------- C:\Program Files\Securitoo
2007-07-04 10:55 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
2007-07-04 09:54 --------- d-------- C:\Program Files\Fichiers communs\AOL
2007-07-04 09:48 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\AOL
2007-07-04 09:48 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\AOL
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2006-05-12 19:34 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2005-03-07 11:22 1757 --a------ C:\Program Files\INSTALL.LOG
2004-10-01 15:00 40960 --a------ C:\Program Files\Uninstall_CDS.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2004-12-15 06:01 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 06:01]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-05-12 19:42]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" []
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-06-16 01:15]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"PowerBar"="" []
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" []
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Nicolas^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.1.lnk]
path=C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
S3 SDTHOOK;SDTHOOK;C:\WINDOWS\system32\DRIVERS\SDTHOOK.sys
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-25 00:29:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Program Files\Windows Defender\MpCmdRun.exe
2007-08-24 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-25 23:32:32
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBarXE = ????????????l?@?l?@?D?????9~??????????????9~l?@?l?@????? ???????????W?<~??9~??????9~K?9~x???????[?9~???????? ??????????????|x???0???????????? jt??9~????????????????!???^???????????l?@?l?@?????Q?:~????t?@?????l?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
Completion time: 2007-08-25 23:32:59
C:\ComboFix-quarantined-files.txt ... 2007-08-25 23:32
--- E O F ---
Je poursuis avec Jv16 Power Tools maintenant !!
Je te tiens au courant dès que se sera OK.
Merci infiniment pour ta patience.
Pas contre, à la fermeture de la fenêtre dos, j'ai eu le fichier qui s'est ouvert.
Il me semble que c'est le rapport.
Je te le livre :
Citation :
ComboFix 07-08-25.2 - "Nicolas" 2007-08-25 23:31:30.1 - NTFS x86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.569 [GMT 2:00]
C:\WINDOWS\system32\chkdsk.exe not present
* Created a new restore point
ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Le fichier spécifié est introuvable.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\exefld
C:\WINDOWS\exefld\1105546.exe
C:\WINDOWS\exefld\220718.exe
C:\WINDOWS\exefld\226078.exe
C:\WINDOWS\exefld\329625.exe
C:\WINDOWS\exefld\70515.exe
C:\WINDOWS\exefld\73453.exe
C:\WINDOWS\exefld\75421.exe
C:\WINDOWS\exefld\79359.exe
C:\WINDOWS\exefld\80437.exe
C:\WINDOWS\exefld\93109.exe
C:\WINDOWS\exefld\94062.exe
C:\WINDOWS\exefld\94687.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\nvs2.inf
((((((((((((((((((((((((( Files Created from 2007-07-25 to 2007-08-25 )))))))))))))))))))))))))))))))
2007-08-25 23:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-25 18:42 <REP> d-------- C:\kav
2007-08-25 16:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-25 10:58 8,576 --a------ C:\WINDOWS\system32\drivers\kbmwcmmsmtih.sys
2007-08-25 10:58 44,672 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-08-25 10:58 <REP> d-------- C:\DOCUME~1\Nicolas\Pavark
2007-08-25 01:54 <REP> d-------- C:\!KillBox
2007-08-25 00:01 <REP> d-------- C:\Program Files\Windows Defender
2007-08-24 23:41 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-08-24 17:03 <REP> d-------- C:\DOCUME~1\Nicolas\APPLIC~1\EndNote
2007-08-24 17:02 <REP> d-------- C:\Program Files\Fichiers communs\Thomson ResearchSoft
2007-08-24 17:02 <REP> d-------- C:\Program Files\Fichiers communs\Risxtd
2007-08-24 17:00 <REP> d-------- C:\Program Files\EndNote X1
2007-08-24 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-08-17 10:40 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-08-17 10:40 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-08-17 10:39 <REP> d-------- C:\Program Files\Picasa2
2007-08-17 10:26 <REP> d-------- C:\Program Files\Photo Story 3 for Windows
2007-08-17 10:21 <REP> d-------- C:\Program Files\Notepad++
2007-08-17 10:21 <REP> d-------- C:\DOCUME~1\Nicolas\APPLIC~1\Notepad++
2007-08-06 22:55 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-08-06 22:55 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-08-06 22:55 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-08-03 08:23 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-08-03 08:22 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-08-03 08:22 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-08-03 08:22 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-08-03 08:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-08-03 08:12 <REP> d-------- C:\WINDOWS\pss
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-25 23:05 --------- d-------- C:\Program Files\Spyware Doctor
2007-08-25 23:05 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
2007-08-25 22:51 --------- d-------- C:\Program Files\Wanadoo
2007-08-22 22:49 --------- d-------- C:\Program Files\Google
2007-08-17 10:21 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-14 17:02 82248 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-14 17:02 57672 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-14 17:02 40264 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-14 17:02 29000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-03 07:38 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\OpenOffice.org2
2007-08-03 07:38 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\OpenOffice.org2
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-23 08:50 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PC Tools
2007-07-12 07:44 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-07-11 07:47 --------- d-------- C:\Program Files\Norton Security Scan
2007-07-06 09:21 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-06 09:21 --------- d-------- C:\Program Files\SAGEM
2007-07-06 09:05 --------- d-------- C:\Program Files\Securitoo
2007-07-04 10:55 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
2007-07-04 09:54 --------- d-------- C:\Program Files\Fichiers communs\AOL
2007-07-04 09:48 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\AOL
2007-07-04 09:48 --------- d-------- C:\DOCUME~1\Nicolas\APPLIC~1\AOL
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2006-05-12 19:34 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2005-03-07 11:22 1757 --a------ C:\Program Files\INSTALL.LOG
2004-10-01 15:00 40960 --a------ C:\Program Files\Uninstall_CDS.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2004-12-15 06:01 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 06:01]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-05-12 19:42]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" []
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-06-16 01:15]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"PowerBar"="" []
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" []
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Nicolas^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.1.lnk]
path=C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
S3 SDTHOOK;SDTHOOK;C:\WINDOWS\system32\DRIVERS\SDTHOOK.sys
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-25 00:29:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Program Files\Windows Defender\MpCmdRun.exe
2007-08-24 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-25 23:32:32
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBarXE = ????????????l?@?l?@?D?????9~??????????????9~l?@?l?@????? ???????????W?<~??9~??????9~K?9~x???????[?9~???????? ??????????????|x???0???????????? jt??9~????????????????!???^???????????l?@?l?@?????Q?:~????t?@?????l?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
Completion time: 2007-08-25 23:32:59
C:\ComboFix-quarantined-files.txt ... 2007-08-25 23:32
--- E O F ---
Je poursuis avec Jv16 Power Tools maintenant !!
Je te tiens au courant dès que se sera OK.
Merci infiniment pour ta patience.
Hop,
voici maintenant le rapport de Jv16 Power :
[ Racine, Clé, Entrée, Valeur, Modifié le ]
HKEY_USERS, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Internet Explorer\TypedURLs, url2, http://www.infos-du-net.com/forum/271922-11-virus-hidr-..., 25.08.2007, 18:13, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_USERS, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603, 000, hidr.exe , 25.08.2007, 20:58, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603
HKEY_USERS, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603, 001, srosa.sys, 25.08.2007, 20:58, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603
L'étau se resserre de plus en plus sur les horribles microbes![:)]( ":)")
voici maintenant le rapport de Jv16 Power :
Citation :
jv16 PowerTools 1.3 - Chercheur de Registre[ Racine, Clé, Entrée, Valeur, Modifié le ]
HKEY_USERS, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Internet Explorer\TypedURLs, url2, http://www.infos-du-net.com/forum/271922-11-virus-hidr-..., 25.08.2007, 18:13, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_USERS, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603, 000, hidr.exe , 25.08.2007, 20:58, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603
HKEY_USERS, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603, 001, srosa.sys, 25.08.2007, 20:58, S-1-5-21-1417001333-1647877149-2147148427-1004\Software\Microsoft\Search Assistant\ACMru\5603
L'étau se resserre de plus en plus sur les horribles microbes
Citation :
SafeBoot registry key needs repairs. This machine cannot enter Safe ModePendant que j'analyse les rapports , le safe mode est pas clair
Télécharge SafeBoot.reg <- ici
Double clique dessus et accepte l'inscription des données
Eric_71 a dit :
Télécharge SafeBoot.reg <- ici
Double clique dessus et accepte l'inscription des données
Je viens de réaliser la manoeuvre.
Les données ont bien été inscrites.
J'attends avec impatience ton diagnostic...
Merci beaucoup beaucoup
Eric_71 a dit :
Avant de continuer , il serait préférable que tu sauvegarde ton travail personnel sur CDrom ou USB au cas ou ... car le virus Bagle est parfois violent et imprévisible ( surtout cette variante particulièrement coriace )Je viens de graver quelques DVD
Il m'en reste encore 1 à graver....
bonsoir
je me permet d'intervenir
on te dit de sauvegarder pour ça:
pas pour les cracks divers et variés qui t'ont amené à te prendre cette infection!
2007-08-25 10:58 44,672 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS<<<--- panda
en voyant ces dates, je pense que c'est à partir d'un crack pour Panda que tu t'es infecté...
je me permet d'intervenir
on te dit de sauvegarder pour ça:
Citation :
Je suis réellement stressé car je suis en train de rédiger ma thèse et j'ai un peu beaucoup les boules de n'avoir pas fait de sauvegarde depuis 15jours !!! pas pour les cracks divers et variés qui t'ont amené à te prendre cette infection!
Citation :
2007-08-25 10:58 8,576 --a------ C:\WINDOWS\system32\drivers\kbmwcmmsmtih.sys<<<--- infection2007-08-25 10:58 44,672 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS<<<--- panda
en voyant ces dates, je pense que c'est à partir d'un crack pour Panda que tu t'es infecté...
Bonsoir quotemsg,
en effet, j'ai gravé 4 DVD de ma thèse et j'en suis au 5ème actuellement![:pt1cable:]( ":pt1cable:")
Pour ce qui est de Panda j'ai eu dans mes vieux souvenirs que le logiciel d'anti-virus Panda était bon. J'ai essayé de le télécharger sur le site officiel mais le virus m'a empêché de l'installer tout comme tous les autres antivirus![:)]( ":)")
J'ai eu le loisir de m'apercevoir à travers mes lectures du jour sur le net que c'est plus vraiment le cas aujourd'hui![:lol:]( ":lol:")
en effet, j'ai gravé 4 DVD de ma thèse et j'en suis au 5ème actuellement
Pour ce qui est de Panda j'ai eu dans mes vieux souvenirs que le logiciel d'anti-virus Panda était bon. J'ai essayé de le télécharger sur le site officiel mais le virus m'a empêché de l'installer tout comme tous les autres antivirus
J'ai eu le loisir de m'apercevoir à travers mes lectures du jour sur le net que c'est plus vraiment le cas aujourd'hui
Bonjour
Citation :
C:\WINDOWS\system32\drivers\kbmwcmmsmtih.sysFais analyser ce fichier ici : Virustotal
Clique sur Parcourir ( en haut ) , choisis Poste de travail , puis C:\
puis Windows , puis System32 , puis drivers et enfin kbmwcmmsmtih.sys
Clique maintenant sur Send ( en haut à droite )
il sera analysé par une plusieurs Antivirus
copie / colle le rapport
Bonjour Eric,
désolé pour mon silence![:)]( ":)")
J'ai fais ce que tu m'as demandé.
Voici le rapport du site Virustotal pour le fichier kbmwcmmsmtih.sys :
Fichier kbmwcmmsmtih.sys reçu le 2007.08.27 17:21:46 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.28.0 2007.08.27 -
AntiVir 7.4.1.63 2007.08.27 -
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.27 -
AVG 7.5.0.484 2007.08.27 -
BitDefender 7.2 2007.08.27 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.27 -
DrWeb 4.33 2007.08.27 -
eSafe 7.0.15.0 2007.08.26 -
eTrust-Vet 31.1.5088 2007.08.27 -
Ewido 4.0 2007.08.27 -
FileAdvisor 1 2007.08.27 -
Fortinet 2.91.0.0 2007.08.27 -
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13030.0 2007.08.27 -
Ikarus T3.1.1.12 2007.08.27 -
Kaspersky 4.0.2.24 2007.08.27 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.27 -
NOD32v2 2485 2007.08.26 -
Norman 5.80.02 2007.08.27 -
Panda 9.0.0.4 2007.08.27 -
Prevx1 V2 2007.08.27 -
Rising 19.38.02.00 2007.08.27 -
Sophos 4.21.0 2007.08.27 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.27 -
TheHacker 6.1.9.173 2007.08.27 -
VBA32 3.12.2.3 2007.08.27 -
VirusBuster 4.3.26:9 2007.08.27 -
Webwasher-Gateway 6.0.1 2007.08.27 -
Information additionnelle
File size: 8576 bytes
MD5: d7dbfbc453b645111e6d21142305e80b
SHA1: e134b78030cfca8dbfd0af144193fc445db86572
![:pt1cable:]( ":pt1cable:")
![:pt1cable:]( ":pt1cable:")
J'y comprends rien.
Merci beaucoup beaucoup Eric![:jap:]( ":jap:")
désolé pour mon silence
J'ai fais ce que tu m'as demandé.
Voici le rapport du site Virustotal pour le fichier kbmwcmmsmtih.sys :
Fichier kbmwcmmsmtih.sys reçu le 2007.08.27 17:21:46 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.28.0 2007.08.27 -
AntiVir 7.4.1.63 2007.08.27 -
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.27 -
AVG 7.5.0.484 2007.08.27 -
BitDefender 7.2 2007.08.27 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.27 -
DrWeb 4.33 2007.08.27 -
eSafe 7.0.15.0 2007.08.26 -
eTrust-Vet 31.1.5088 2007.08.27 -
Ewido 4.0 2007.08.27 -
FileAdvisor 1 2007.08.27 -
Fortinet 2.91.0.0 2007.08.27 -
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13030.0 2007.08.27 -
Ikarus T3.1.1.12 2007.08.27 -
Kaspersky 4.0.2.24 2007.08.27 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.27 -
NOD32v2 2485 2007.08.26 -
Norman 5.80.02 2007.08.27 -
Panda 9.0.0.4 2007.08.27 -
Prevx1 V2 2007.08.27 -
Rising 19.38.02.00 2007.08.27 -
Sophos 4.21.0 2007.08.27 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.27 -
TheHacker 6.1.9.173 2007.08.27 -
VBA32 3.12.2.3 2007.08.27 -
VirusBuster 4.3.26:9 2007.08.27 -
Webwasher-Gateway 6.0.1 2007.08.27 -
Information additionnelle
File size: 8576 bytes
MD5: d7dbfbc453b645111e6d21142305e80b
SHA1: e134b78030cfca8dbfd0af144193fc445db86572
J'y comprends rien.
Merci beaucoup beaucoup Eric
Visiblement le fichier n'est pas infectieux
Séléctionne l'encadré ci-dessous , puis Clique droit , puis Copier :
C:\WINDOWS\pss
Lance maintenant OTMoveIt en double cliquant sur OTMoveIt.exe
Deux cadres apparaissent , clique droit sur le cadre de gauche , puis Coller
Enfin , clique sur MoveIt![/#f]
[#ff0000]Il est possible qu'il te demande de redemarrer , accepte en cliquant sur YES
Poste le rapport généré ( C:\_OTMoveIt\MovedFiles\ <~~ ici , la date de création ! )
-----------------------------------------------------------
clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :
et enfin clique sur OK
Ouvre le Bloc-notes , et Copie/Colle ceci en entier à l'interieur :
REGEDIT4
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
Enregistre ce fichier sur ton bureau
Nom du fichier : Fixkeys.reg
Type : Tous les fichiers
Redémarre en mode sans échec ( démarrer / redémarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )
Si le mode sans échec ne se lance pas , surtout tu n'insiste pas !
Double-clique sur Fixkeys.reg
Clique sur Oui lorsqu'il te demande confirmation pour Fusionner
Une fois effectué , supprime le fichier Fixkeys.reg
Eric, je viens d'effectuer toutes les opérations que tu m'as indiqué.
Je me suis permis en rédémarrant à nouveau mon pc de faire un rapport BlackLight.
Voici ce que j'ai obtenu...
08/27/07 20:58:31 [Info]: BlackLight Engine 1.0.64 initialized
08/27/07 20:58:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/27/07 20:58:31 [Note]: 7019 4
08/27/07 20:58:31 [Note]: 7005 0
08/27/07 20:58:34 [Note]: 7006 0
08/27/07 20:58:34 [Note]: 7011 144
08/27/07 20:58:34 [Note]: 7026 0
08/27/07 20:58:34 [Note]: 7026 0
08/27/07 20:58:37 [Note]: FSRAW library version 1.7.1022
08/27/07 21:00:27 [Note]: 7007 0
Qu'en penses-tu ????
Le PC est soigné ??? Je peux installer un anti-virus maintenant ??
Merci infiniment à la puissance 999999999999999999999999 au moins.![:)]( ":)")
Je me suis permis en rédémarrant à nouveau mon pc de faire un rapport BlackLight.
Voici ce que j'ai obtenu...
Citation :
08/27/07 20:58:31 [Info]: BlackLight Engine 1.0.64 initialized
08/27/07 20:58:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/27/07 20:58:31 [Note]: 7019 4
08/27/07 20:58:31 [Note]: 7005 0
08/27/07 20:58:34 [Note]: 7006 0
08/27/07 20:58:34 [Note]: 7011 144
08/27/07 20:58:34 [Note]: 7026 0
08/27/07 20:58:34 [Note]: 7026 0
08/27/07 20:58:37 [Note]: FSRAW library version 1.7.1022
08/27/07 21:00:27 [Note]: 7007 0
Qu'en penses-tu ????
Le PC est soigné ??? Je peux installer un anti-virus maintenant ??
Merci infiniment à la puissance 999999999999999999999999 au moins.
Eric, je viens d'installer Antivir comme tu me l'avais conseillé.
J'ai utilisé le lien suivant afin de le paramétrer au mieux :
http://www.infos-du-net.com/forum/267223-11-securiser-ordinateur
J'ai fais le premier scan avec Antivir en mode sans échec, voici le résultat :
AntiVir PersonalEdition Classic
Report file date: lundi 27 août 2007 22:32
Scanning for 740715 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: N
Computer name: ORDINATEUR
Version information:
BUILD.DAT : 248 14437 Bytes 31/05/2007 16:59:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14
AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54
LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04
LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23/02/2007 13:09:01
ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12/04/2007 13:09:02
ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16/04/2007 13:09:02
AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13/04/2007 13:04:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27/03/2007 07:48:28
AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05
AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18
RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Start of the scan: lundi 27 août 2007 22:32
Starting search for hidden objects.
The driver could not be initialized.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '19' files ).
Starting the file scan:
Begin scan in 'C:\' <WindowsXP>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\QooBox\Quarantine\C\WINDOWS\exefld\1105546.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47033ab5.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\220718.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47033ac3.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\226078.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47093acc.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\329625.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '470c3ad1.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\70515.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47083ad6.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\73453.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47073ade.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\75421.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47073afb.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\79359.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47063b02.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\80437.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47073afc.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\93109.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47043b02.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\94062.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47033b06.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\94687.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47093b09.qua'!
End of the scan: lundi 27 août 2007 23:03
Used time: 31:29 min
The scan has been done completely.
7763 Scanning directories
294539 Files were scanned
12 viruses and/or unwanted programs were found
12 classified as suspicious:
0 files were deleted
0 files were repaired
12 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
294515 Files not concerned
1243 Archives were scanned
1 Warnings
0 Notes
0 Hidden objects were found
Voici le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:54, on 27/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scann...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 8164 bytes
Que me conseilles-tu comme Firewall ????
Zone Alarm ou Kerio ???
Et comme antispyware ??
AVG anti-spyware, Spybot ou Ad-Aware ????
Pourrais-tu m'envoyer un message PV s'il te plait.
Je te remercie infiniment !!!!
J'ai utilisé le lien suivant afin de le paramétrer au mieux :
http://www.infos-du-net.com/forum/267223-11-securiser-ordinateur
J'ai fais le premier scan avec Antivir en mode sans échec, voici le résultat :
Citation :
AntiVir PersonalEdition Classic
Report file date: lundi 27 août 2007 22:32
Scanning for 740715 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: N
Computer name: ORDINATEUR
Version information:
BUILD.DAT : 248 14437 Bytes 31/05/2007 16:59:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14
AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54
LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04
LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23/02/2007 13:09:01
ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12/04/2007 13:09:02
ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16/04/2007 13:09:02
AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13/04/2007 13:04:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27/03/2007 07:48:28
AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05
AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18
RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Start of the scan: lundi 27 août 2007 22:32
Starting search for hidden objects.
The driver could not be initialized.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '19' files ).
Starting the file scan:
Begin scan in 'C:\' <WindowsXP>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\QooBox\Quarantine\C\WINDOWS\exefld\1105546.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47033ab5.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\220718.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47033ac3.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\226078.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47093acc.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\329625.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '470c3ad1.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\70515.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47083ad6.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\73453.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47073ade.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\75421.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47073afb.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\79359.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47063b02.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\80437.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47073afc.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\93109.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47043b02.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\94062.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47033b06.qua'!
C:\QooBox\Quarantine\C\WINDOWS\exefld\94687.exe.vir
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47093b09.qua'!
End of the scan: lundi 27 août 2007 23:03
Used time: 31:29 min
The scan has been done completely.
7763 Scanning directories
294539 Files were scanned
12 viruses and/or unwanted programs were found
12 classified as suspicious:
0 files were deleted
0 files were repaired
12 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
294515 Files not concerned
1243 Archives were scanned
1 Warnings
0 Notes
0 Hidden objects were found
Voici le rapport Hijackthis :
Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:54, on 27/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Documents and Settings\Nicolas\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scann...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 8164 bytes
Que me conseilles-tu comme Firewall ????
Zone Alarm ou Kerio ???
Et comme antispyware ??
AVG anti-spyware, Spybot ou Ad-Aware ????
Pourrais-tu m'envoyer un message PV s'il te plait.
Je te remercie infiniment !!!!
Les fichiers trouvés par Antivir sont ceux de la quarantaine de Combofix
Supprime ce dossier : C:\QooBox
---------------------------------------------------------
Relance Hijackthis clique cette fois sur do a system scan only
coche dans les cases à gauche les lignes suivantes ( et uniquement celles-ci ) :
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
et clique sur Fix checked ( en bas à gauche )
A la demande de confirmation , répond Oui
---------------------------------------------------
Citation :
Que me conseilles-tu comme Firewall ????Zone Alarm ou Kerio ???
Et comme antispyware ??
AVG anti-spyware, Spybot ou Ad-Aware ????
Perso , je préfère Zone Alarm , pour les Antispywares tu peux sans problème avoir les trois
Tu as toujours des problèmes ?
Bonjour Eric,
j'ai réalisé les dernières opérations avec Hijackthis et supprimé les deux lignes plus haut.
J'ai pu réinstaller Windows Defender.
Je vais de suite installer Zone Alarm et l'un des Antispyware.
Tout roule impeccablement.
Je ne saurai trop vous remercier toi et Sham-Rock !!!
Merci infiniment, énormément.
Vous êtes des chefs![:)]( ":)")
![:)]( ":)")
![:)]( ":)")
![:)]( ":)")
![;)]( ";)")
Je vais vous chanter des louanges partout ou j'irai![:)]( ":)")
Je suis votre éternel abonné![:)]( ":)")
![:)]( ":)")
![:)]( ":)")
j'ai réalisé les dernières opérations avec Hijackthis et supprimé les deux lignes plus haut.
J'ai pu réinstaller Windows Defender.
Je vais de suite installer Zone Alarm et l'un des Antispyware.
Tout roule impeccablement.
Je ne saurai trop vous remercier toi et Sham-Rock !!!
Merci infiniment, énormément.
Vous êtes des chefs
Je vais vous chanter des louanges partout ou j'irai
Je suis votre éternel abonné
Salut!
J'ai le même problème. Après avoir utilisé BlackLight pour sacnner (il a trouvé!) et OtmoveIt pour cleanner... Ce dernier me demande de rebooter pour finaliser mais..evidment, mon ordi ne peut redémarrer sans que je passe par ««activer les dernier paramètres fonctionels», ce qui réinstalle mon Bagle Hidr et ses sbires!
..le mode sans echec n'est pas utilisable et j'ai peur que si je désactive le mode «récuparation», bien je ne pourrai plus aller dans mon ordi pour faire quoi que ce soit!
Que faire pour cleaner tout de suite et ensuite rebooter normalement et être sur du résultat?
merci
J'ai le même problème. Après avoir utilisé BlackLight pour sacnner (il a trouvé!) et OtmoveIt pour cleanner... Ce dernier me demande de rebooter pour finaliser mais..evidment, mon ordi ne peut redémarrer sans que je passe par ««activer les dernier paramètres fonctionels», ce qui réinstalle mon Bagle Hidr et ses sbires!
..le mode sans echec n'est pas utilisable et j'ai peur que si je désactive le mode «récuparation», bien je ne pourrai plus aller dans mon ordi pour faire quoi que ce soit!
Que faire pour cleaner tout de suite et ensuite rebooter normalement et être sur du résultat?
merci
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumVirus security center résolu
- ForumVirus clavier fou résolu
- ForumVirus windows security alert,sys
- ForumVirus trojan startpage résolu
- downloadEliminer security warning virus résolu
- ForumVirus qui efface un .exe d'application
- ForumVirus sur les .exe
- ForumVirus convertit les dossier en .exe
- ForumVirus qui empeche exe
- ForumVirus .exe
- Voir plus
