(RESOLU) Pour grand débutant : peut-etre infecté par magic controle ag

[Duck Psycho Sexy]

C'est marrant, mais bien que ce soit chiant, j'aime bien faire ce genre de trucs... Vivement le jour ou je comprendrai ce que je fais!

[Malekal_morte]

Fais ceci :

 

télécharges et installes :

KillBox

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

 

C:\WINDOWS\system32\fjrxlwzbd.exe

C:\WINDOWS\system32\fjrxlwzbd.exe

C:\WINDOWS\system32\fjrxlwzbd.dat

C:\WINDOWS\system32\fjrxlwzbd_nav.dat

C:\WINDOWS\system32\fjrxlwzbd_navps.dat

 

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

Merci de répondre à ces questions :

Tu as bien fait toutes ces manipulations en mode sans échec ?

As-tu bien fait la partie BFU ?

Modifié le 4 août 2006 par Malekal_morte

[Duck Psycho Sexy]

Salut,

 

Tu as bien fait toutes ces manipulations en mode sans échec ?

 

Oui sauf Blacklight qui ne fonctionne qu'en mode normal.

 

As-tu bien fait la partie BFU ?

 

oui

 

Pour killbox, je le fais aussi en mode sans echec j'imagine?

[Malekal_morte]

Pour killbox, je le fais aussi en mode sans echec j'imagine?

 

non mode normal.

[Duck Psycho Sexy]

Solution 3 - Entrer une liste de fichiers par copier/coller

 

Dans le cas de la suppression de plusieurs fichiers, vous pouvez copier toute la liste de fichiers (un fichier par ligne).

Puis d'entrer cette liste dans KillBox par Menu "File" -> "Past from Clipboard"

Exemple :

 

Celui qui vous aide vous demande de supprimer les fichiers suivants (immédiatement ou au redémarrage) :

C:\Windows\System32\SaleBete1.exe

C:\Windows\System32\SaleBete2.exe

C:\Windows\System32\SaleBete3.exe

Effectuez un "Copier" de la liste complète de fichiers ci-dessus. Ne la tapez surtout pas à la main, c'est une source d'erreur.

De retour dans KillBox : Menu "File" -> "Past from Clipboard"

Pour y avoir accès en permanence, vous devrez peut-être la sauvegarder d'abord dans un fichier texte (voir ci-dessous).

A noter :

 

Dans le cas d'une liste, l'utilisation de cette fonction "Past from Clipboard" est impératif.

Le "Coller" simple ne colle que le premier fichier de la liste.

 

 

Apparement la fonction "past from clipboard" ne marche pas, quand je clique dessus, une inscription bleue apparait ultra brievement au dessus de la ligne du milieu avec un "+" ensuite quand je fais coller, seul le premier fichier de la liste apparait. J'ai essayé en "single file" et "all file"...

Une solution? j'ai pas compris untruc? Dois-je le faire un par un?

[Malekal_morte]

Il faut bien que tu aies sélectionné la liste entière que je t'ai donné.

Et que tu fasses clic droit copier

 

pour le coller dans Killbox à partir du menu : "File" -> "Past from Clipboard

Si le premier fichier de la liste se remplit, cela me semble bien, tu peux continuer.

[Duck Psycho Sexy]

Ben non justement, quand je clic sur past from clipboard, aucun fichier ne s'affiche... Bien que la liste soit bien copiée dans le press papier

C'est quand je fais un coller simple que le premier fichier s'affiche, ce qui est normal d'apres le tuto...

 

sur le site d'aide de KillBox, j'ai trouvé ca :

File > Paste from Clipboard:

This reads text (only) from the clipboard and will add any valid file paths and load the Combobox. As the data from the clipboard is processed, KillBox checks all pathnames and verifies that the path exists, and if the path cannot be found, the entry will not be added to the Combobox.

Apparement, KB verifie le chemin des fichiers dans le press papier, si les chemins ne sont pas trouvés, KB ne les ajoute pas. C'est ce qu'il se passe non?

[Malekal_morte]

Possible les fichiers dat ont dû être effacé par BFU.

 

Supprime ce fichier : C:\resultat.txt et relance chercher et colle le contenu du rapport ici.

Ton plug-in sur firefox déconne tjrs ?

[Duck Psycho Sexy]

Ton plug-in sur firefox déconne tjrs ?

non, il ne déconne plus depuis que j'ai fait une restauration (c à d avant meme la procédure entamée avec toi) mais apparement cela ne voulait pas forcemment dire que la bebete était eradiquée...

 

voici le rapport:

 

C:\WINDOWS\System32\wpa.dbl -->04/08/2006 13:53:26

C:\WINDOWS\System32\FNTCACHE.DAT -->02/08/2006 01:09:48

C:\WINDOWS\System32\perfh00C.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\perfh009.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\perfc00C.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\perfc009.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\d3d9caps.dat -->16/07/2006 18:53:01

C:\WINDOWS\System32\PerfStringBackup.INI -->13/07/2006 22:01:55

C:\WINDOWS\System32\MRT.exe -->07/07/2006 03:21:46

C:\WINDOWS\System32\jupdate-1.5.0_06-b05.log -->28/06/2006 16:31:07

C:\WINDOWS\System32\rasmans.dll -->22/06/2006 12:48:06

C:\WINDOWS\System32\FLASH.OCX -->22/06/2006 10:29:56

C:\WINDOWS\System32\CONFIG.NT -->21/06/2006 23:02:23

C:\WINDOWS\System32\LuResult.txt -->21/06/2006 22:55:31

C:\WINDOWS\System32\$winnt$.inf -->21/06/2006 15:59:11

C:\WINDOWS\System32\WgaLogon.dll -->19/06/2006 16:20:42

C:\WINDOWS\System32\LegitCheckControl.dll -->19/06/2006 16:19:42

C:\WINDOWS\System32\WgaTray.exe -->19/06/2006 16:19:26

C:\WINDOWS\System32\sirenacm.dll -->06/06/2006 12:37:54

C:\WINDOWS\System32\jgpl400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\jgdw400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\aswBoot.exe -->31/05/2006 11:02:04

C:\WINDOWS\System32\AVASTSS.scr -->31/05/2006 10:54:35

C:\WINDOWS\System32\shdocvw.dll -->29/05/2006 17:34:15

C:\WINDOWS\System32\mshtml.dll -->19/05/2006 17:07:57

 

C:\WINDOWS\WindowsUpdate.log -->04/08/2006 13:53:38

C:\WINDOWS\0.log -->04/08/2006 12:38:36

C:\WINDOWS\wiadebug.log -->04/08/2006 12:38:01

C:\WINDOWS\wiaservc.log -->04/08/2006 12:37:59

C:\WINDOWS\bootstat.dat -->04/08/2006 12:37:36

C:\WINDOWS\ntbtlog.txt -->04/08/2006 12:34:17

C:\WINDOWS\hpoins05.dat -->04/08/2006 12:09:00

C:\WINDOWS\setupapi.log -->04/08/2006 03:38:13

C:\WINDOWS\hpoins05.dat.temp -->04/08/2006 03:36:35

C:\WINDOWS\SchedLgU.Txt -->04/08/2006 03:32:25

C:\WINDOWS\QTFont.qfn -->04/08/2006 03:29:09

C:\WINDOWS\wmsetup.log -->03/08/2006 22:23:34

C:\WINDOWS\OEWABLog.txt -->03/08/2006 22:23:34

C:\WINDOWS\mozver.dat -->03/08/2006 18:14:56

C:\WINDOWS\WININIT.INI -->03/08/2006 18:08:39

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\WINDOWS\system

 

07/05/1998 18:04 52ÿ736 hpsysdrv.exe

1 fichier(s) 52ÿ736 octets

0 R‚p(s) 145ÿ945ÿ894ÿ912 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\WINDOWS\system32

 

10/08/2004 13:00 6ÿ144 csrss.exe

1 fichier(s) 6ÿ144 octets

0 R‚p(s) 145ÿ945ÿ894ÿ912 octets libres

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\Program Files

 

03/08/2006 22:09 <REP> .

03/08/2006 22:09 <REP> ..

01/01/2005 23:25 <REP> Adobe

21/06/2006 23:02 <REP> Alwil Software

01/01/2005 23:01 <REP> ATI Technologies

03/08/2006 17:07 <REP> CCleaner

12/11/2005 02:09 <REP> ComPlus Applications

01/08/2006 18:24 <REP> eMule

03/08/2006 22:57 <REP> ewido anti-spyware 4.0

03/07/2006 13:00 <REP> Fichiers communs

28/06/2006 11:21 <REP> FreeRIP2

01/01/2005 22:42 <REP> FrenchOtto

01/01/2005 22:42 <REP> GemMasterFrench

01/08/2006 19:57 <REP> Google

23/06/2006 17:39 <REP> Goto Software

04/08/2006 03:39 <REP> Hewlett-Packard

02/08/2006 01:30 <REP> HijackThis

01/01/2005 23:25 <REP> HP

07/07/2006 15:29 <REP> Inkscape

01/01/2005 22:58 <REP> Intel

22/06/2006 12:56 <REP> Internet Explorer

28/06/2006 16:31 <REP> Java

03/07/2006 13:01 <REP> K-Lite Codec Pack

21/06/2006 20:17 <REP> Kit ADSL

01/01/2005 23:03 <REP> MainConcept

25/06/2006 15:43 <REP> Media Player Classic

01/01/2005 22:50 <REP> Messenger

15/11/2005 04:24 <REP> microsoft frontpage

01/01/2005 23:27 <REP> Microsoft Office

01/01/2005 23:27 <REP> Microsoft Works

15/11/2005 04:24 <REP> Movie Maker

04/08/2006 14:01 <REP> Mozilla Firefox

03/08/2006 17:07 <REP> Mozilla Firefox(2)

22/06/2006 04:25 <REP> MSN

15/11/2005 04:25 <REP> MSN Gaming Zone

22/06/2006 04:27 <REP> MSN Messenger

01/01/2005 23:29 <REP> muvee Technologies

28/06/2006 11:18 <REP> MyGlobalSearch

15/11/2005 04:25 <REP> NetMeeting

15/11/2005 04:25 <REP> Online Services

28/06/2006 16:17 <REP> OpenOffice.org 2.0

22/06/2006 12:55 <REP> Outlook Express

01/01/2005 23:22 <REP> Real

22/06/2006 10:23 <REP> Services en ligne

01/01/2005 23:24 <REP> Sonic

01/08/2006 19:46 <REP> Spybot - Search & Destroy

03/08/2006 19:18 <REP> Windows Media Player

15/11/2005 04:25 <REP> Windows NT

01/08/2006 19:46 <REP> Windows Plus

01/08/2006 20:33 <REP> WinRAR

01/08/2006 19:48 <REP> WinZip

23/06/2006 16:26 251 wt3d.ini

15/11/2005 04:26 <REP> xerox

1 fichier(s) 251 octets

52 R‚p(s) 145ÿ945ÿ890ÿ816 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\Program Files\fichiers communs

 

03/07/2006 13:00 <REP> .

03/07/2006 13:00 <REP> ..

01/01/2005 23:26 <REP> Adobe

01/01/2005 23:08 <REP> Hewlett-Packard

01/01/2005 23:14 <REP> HP

01/01/2005 23:29 <REP> InstallShield

01/01/2005 22:46 <REP> Java

01/01/2005 23:24 <REP> LightScribe

22/06/2006 04:27 <REP> Microsoft Shared

15/11/2005 04:24 <REP> MSSoap

01/01/2005 23:29 <REP> muvee Technologies

15/11/2005 04:24 <REP> ODBC

03/07/2006 13:00 <REP> Real

15/11/2005 04:24 <REP> Services

01/01/2005 23:23 <REP> Sonic Shared

15/11/2005 04:24 <REP> SpeechEngines

01/01/2005 23:23 <REP> SureThing Shared

21/06/2006 22:59 <REP> Symantec Shared

22/06/2006 12:55 <REP> System

01/01/2005 23:24 <REP> TiVo Shared

0 fichier(s) 0 octets

20 R‚p(s) 145ÿ945ÿ890ÿ816 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\

 

27/12/2005 09:21 7ÿ477ÿ561 setup_all.exe

10/01/2001 12:23 162ÿ304 UNWISE.EXE

2 fichier(s) 7ÿ639ÿ865 octets

0 R‚p(s) 145ÿ945ÿ890ÿ816 octets libres

c:\Documents and Settings\HP_Administrateur\Application Data\MSNInstaller\msnauins.exe

c:\Documents and Settings\HP_Administrateur\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\HP_Administrateur\Bureau\blbeta.exe

c:\Documents and Settings\HP_Administrateur\Bureau\ccsetup131.exe

c:\Documents and Settings\HP_Administrateur\Bureau\eMule0.47a-Installer.exe

c:\Documents and Settings\HP_Administrateur\Bureau\ewido-setup_4.0.0.172a.exe

c:\Documents and Settings\HP_Administrateur\Bureau\ewido-setup_4.0.0.172c.exe

c:\Documents and Settings\HP_Administrateur\Bureau\freeripmp3.exe

c:\Documents and Settings\HP_Administrateur\Bureau\GoogleDesktopSetup_CIWBGGDDplugins$2fSoccerScores$2egg$$D.exe

c:\Documents and Settings\HP_Administrateur\Bureau\HijackThis.exe

c:\Documents and Settings\HP_Administrateur\Bureau\Inkscape-0.44-1.win32.exe

c:\Documents and Settings\HP_Administrateur\Bureau\Install_Messenger.exe

c:\Documents and Settings\HP_Administrateur\Bureau\KillBox.exe

c:\Documents and Settings\HP_Administrateur\Bureau\LSPFix.exe

c:\Documents and Settings\HP_Administrateur\Bureau\media-player-classic_media_player_classic_6.4.9.0b_xp_.exe_francais_11019.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OOo_2.0.2_Win32Intel_install_fr(2).exe

c:\Documents and Settings\HP_Administrateur\Bureau\Shockwave_Installer_Slim.exe

c:\Documents and Settings\HP_Administrateur\Bureau\sp26523.exe

c:\Documents and Settings\HP_Administrateur\Bureau\SXFR201DOGT66.EXE

c:\Documents and Settings\HP_Administrateur\Bureau\wrar351fr.exe

c:\Documents and Settings\HP_Administrateur\Bureau\wz90fr.exe

c:\Documents and Settings\HP_Administrateur\Bureau\chercher\LFiles.exe

c:\Documents and Settings\HP_Administrateur\Bureau\clean\pskill.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\instmsia.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\instmsiw.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\setup.exe

c:\Documents and Settings\HP_Administrateur\Bureau\RegSeeker\RegSeeker.exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temp\hpzmsi01.exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temp\hpzscr01.exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EK021Q3I\Firefox%20Setup%201.5.0.6[1].exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EK021Q3I\Firefox%20Setup%201.5.0.6[2].exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\all4cmr301.exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\freeripmp3.exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\RealPlayer10-5GOLD_fr.exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\slsk157test8.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

[Malekal_morte]

OK. Les fichiers ne sont plus présents, c'est donc OK.

Le scan en ligne de Kaspersky ne montrait pas de virus, donc c'est OK.

 

La machine est propre

Pourrais-tu donner le lien de ton sujet sur geckozone ? stp

Je voudrais aller y jeter un coup d'oeil

 

Pour le reste, je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

 

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses sur Malware-Complaints, pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles du forum

- Après t'être enregistré à l'aide du bouton en haut "register", tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10