A l'aide: PC infecté par Worm.VB.NRM et Win32.Worm.VB.NPM - Sécurité - Virus
TomsGuide.com : 700 000 inscrits répondent à toutes vos questions high-tech et informatique.
Pour obtenir de l'aide, inscrivez-vous gratuitement !
 

Ajouter une réponse



 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente 
Auteur
 Sujet : A l'aide: PC infecté par Worm.VB.NRM et Win32.Worm.VB.NPM
 
Profil : IDNaute
Plus d'informations

Salut à tous

Mon PC est infecté par le virus Win32.Worm.VB.NRM et Win32.Worm.VB.NPM Des personnes pourraient me donner les démarches à suivre pour les supprimer ?

J'ai fait un scan Bitdefender on line et Malwarebytes' Anti-Malware voici les rapports.

Merci à vous

Zabo

rapport bitdefender:

BitDefender Online Scanner - Rapport virus en temps réel







Généré à: Wed, Jul 09, 2008 - 19:16:52









Info d'analyse







Fichiers scannés


128169

Infectés Fichiers


35















Virus Détectés







Win32.Worm.VB.NRM


17

Win32.Worm.VB.NPM


18


autre rapport:

BitDefender Online Scanner







Rapport d'analyse généré à: Wed, Jul 09, 2008 - 19:15:13









Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;















Statistiques

Temps


00:36:30

Fichiers


119284

Directoires


8839

Secteurs de boot


3

Archives


2272

Paquets programmes


12022







Résultats

Virus identifiés


3

Fichiers infectés


35

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


34







Info sur les moteurs

Définition virus


1362605

Version des moteurs


AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins


16

Archive des plugins


42

Unpack des plugins


7

E-mail plugins


6

Système plugins


5







Paramètres d'analyse

Première action


Message

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\Recycled\INFO.EXE


Infecté par: Win32.Worm.VB.NRM

C:\Recycled\INFO.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101669.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101669.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101670.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101670.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101675.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101675.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101686.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101686.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101687.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101687.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101692.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101692.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101712.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101712.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101713.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101713.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101718.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101718.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101726.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101726.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101729.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101729.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101730.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101730.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101795.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101795.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101796.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101796.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101801.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101801.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101812.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101812.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101815.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101815.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101816.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101816.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101881.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101881.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101882.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101882.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101886.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101886.EXE


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102082.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102082.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102083.exe


Infecté par: Win32.Worm.VB.NPM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102083.exe


Supprimé

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102086.EXE


Infecté par: Win32.Worm.VB.NRM

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102086.EXE


Supprimé

C:\WINDOWS\Config\Svchost.exe


Infecté par: Win32.Worm.VB.NPM

C:\WINDOWS\Config\Svchost.exe


Supprimé

C:\WINDOWS\Config\System.exe


Infecté par: Win32.Worm.VB.NPM

C:\WINDOWS\Config\System.exe


Supprimé

C:\WINDOWS\System.exe


Infecté par: Win32.Worm.VB.NRM

C:\WINDOWS\System.exe


Echec de la suppression

C:\WINDOWS\System.exe


Echec de la suppression

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101678.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101678.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101695.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101695.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101721.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP760\A0101721.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101804.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP761\A0101804.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101889.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0101889.EXE


Supprimé

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102089.EXE


Infecté par: Win32.Worm.VB.NRM

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP762\A0102089.EXE


Supprimé

D:\Recycled\INFO.EXE


Infecté par: Win32.Worm.VB.NRM

D:\Recycled\INFO.EXE

Liens spon sorisés

Inscrivez-vous ou connectez-vous pour masquer ceci.

Profil : IDNaute
Plus d'informations

voici le rapport Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 912
Windows 5.1.2600 Service Pack 2

19:59:52 09/07/2008
mbam-log-7-9-2008 (19-59-52).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 118565
Temps écoulé: 41 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Profil : IDNaute
Plus d'informations

Le fichier infecté étant apparement C:\WINDOWS\System.exe

Profil : Helper
Plus d'informations

Bonsoir,

Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

  • Double clique sur HJTInstall.exe pour lancer l'installation.
  • Clique sur Install.
  • Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
  • Accepte la licence en cliquant sur Yes.
  • Clique sur Do a system scan and save a logfile.
  • Poste ici le rapport généré.


Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

Aide : Comment utiliser HijackThis.


---------------
Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité/Prévention
Profil : IDNaute
Plus d'informations

Salut et merci à toi.

Voici le rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:22, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F3 - REG:win.ini: load=System
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AutoTBar] c:\Program Files\HP\Digital Imaging\bin\AUTOTBAR.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [slide.exe] C:\Program Files\Slide\Slide.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr [...] NPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/ [...] DP-1.1.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.c [...] oader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E67885A0-82A9-482F-B96A-AA1FAEE72E6B}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5721 bytes

Profil : Helper
Plus d'informations

Re,

Télécharge SDFix (d’Andy Manchesta).

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.

Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.


Il se trouve également. dans le dossier SDFix >Report.txt<


---------------
Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité/Prévention
Profil : IDNaute
Plus d'informations

voici le rapport:


SDFix: Version 1.204
Run by HP_Propri‚taire on 10/07/2008 at 20:43

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\autorun.inf - Deleted
C:\WINDOWS\config\svchost.exe - Deleted


Could Not Remove C:\WINDOWS\System.exe



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 20:55:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Disabled:AOL France"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Disabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

C:\WINDOWS\System.exe Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 12 Sep 2005 218 A.SHR --- "C:\BOOT.BAK"
Sun 18 Sep 2005 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.sys"
Thu 15 Sep 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 25 Sep 2005 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv12.bak"
Sat 16 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 21 Aug 2006 9,216 ...H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Mes fichiers re‡us\~WRL2688.tmp"
Wed 24 Mar 2004 22,528 A..H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Moniteur Educateur\~WRL0005.tmp"
Wed 30 Mar 2005 21,504 A..H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Moniteur Educateur\~WRL0015.tmp"
Mon 2 Feb 2004 45,568 A..H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Moniteur Educateur\~WRL2826.tmp"
Tue 22 Aug 2006 20,992 ...H. --- "C:\Documents and Settings\HP_Propri‚taire\Application Data\Microsoft\Word\~WRL0004.tmp"
Wed 20 Feb 2008 613,888 ...H. --- "C:\Documents and Settings\HP_Propri‚taire\Mes documents\Machina Deus Ex\cover cd figurines\~WRL3293.tmp"

Finished!

Profil : Helper
Plus d'informations

Re,

Oh !

Sélectionne l'intégralité du cadre ci-dessous :

Files to delete:
C:\WINDOWS\System.exe


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de Remove.txt


Télécharge The Avenger (de Swandog46).

  • Dézippe le sur ton Bureau.
  • Lance le en double cliquant sur l’exécutable puis fais ok.
  • Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.
  • Sélectionne ton fichier remove.txt se trouvant sur le Bureau.
  • Clique sur le feu vert puis sur oui.
  • Le programme va te demander de redémarrer ton pc, accepte.
  • Poste le rapport : C:\avenger.txt


---------------
Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité/Prévention
Profil : IDNaute
Plus d'informations

Re

Quelques précisions par rapport à the avenger..

Lorque je selectionne Load Script from File je n'ai pas à cliker sur le dossier à droite, il me demande de chercher le fichier. Donc je pense bien que c'est le remove.txt ok ?

Puis, je n'ai pas de feu vert, juste un bouton executer, je clik ? Je pense qu'il va donc "delete C:\WINDOWS\System.exe" exact ? Et ce n'est pas un fichier important pour le fonctionnement de windows ?

Désol de mes questionnements cons !

Profil : IDNaute
Plus d'informations

J'ai lancé un post dans un autre forum, mais celui-ci reste le principal !
XmichouX a l'air de toucher sa bille !;-)

Zabo

Profil : Helper
Plus d'informations

Mon canned est obsolète, je vais le maj.

Euh il ne faut pas faire plusieurs sujets ...

Le fichier est nocif.


---------------
Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité/Prévention
Profil : IDNaute
Plus d'informations

Pas de souci, je continue ici.

Donc pour les questions que je me posais, tout est ok, je peux faire le scan the avenger ?

merci encore

Profil : Helper
Plus d'informations

Ouaip


---------------
Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité/Prévention
Profil : IDNaute
Plus d'informations

OK, je viens de faire the avenger. Le PC a redémarré normalement par contre une fenetre m'affiche "windows pas de disque" et le message exception processing message ....blahblah blah, des chifres + lettre
Je dois choisir entre annuler, recommencer ou continuer.

Malgré ce message, j'ai accès à tout sur mon pc...bizarre bizarre ?

Voici le rapport the avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Profil : IDNaute