> Tous les forums > Forum Sécurité
 windows ne trouve pas mqtgsvc.exe + gros pb virus
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
shob
  Posté le 05/05/2009 @ 14:21 
Aller en bas de la page 
Nouvel astucien

Bonjour à tous.

Gros soucis hier en travaillant sur mon pc (sous windows XP)

Il s'est éteint tout seul... Ca m'a inquiété, à juste titre !

Une fois relancé, plus de connexion internet, boites de dialogues à l'invite avec 4 messages du type " ne trouve pas mqtgsvc.exe".

Je me suis dit qu'une misère m'avait contaminé... Je vais donc passer antivir, spybot, bref contrôler.

Les deux sont inactivés (absents de la barre), rien ne se passe quand je les lance.

Je lance malwarebyte, il tourne et me trouve une vingtaine de trojan, voici le cr :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

04/05/2009 22:12:45
mbam-log-2009-05-04 (22-12-45).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 125750
Temps écoulé: 45 minute(s), 42 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
C:\WINDOWS\system\mstsc.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mstsc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP54\A0009151.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP55\A0009162.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP55\A0009174.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP56\A0009180.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP56\A0009196.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009207.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009219.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009242.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009255.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009268.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009281.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009292.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009314.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009327.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009342.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\srosa2.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\WINDOWS\system\mstsc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Je supprime tout ce petit monde, vide la quarantaine.

Rien ne change.

Aujourd'hui, après reflexion et en trainant un peu sur votre forum, je charge un certain nombre de logiciels à jour sur ma clé usb :

- je réinstalle ccleaner et le lance. Rien ne se passe

- idem avec antivir, avg, ad-aware.

- tentative de faire un Hijackthis, idem

- tentative de changer nom de l'executable de ce dernier, impossible, CTRL+Alt+Suppr, le gestionnaire de tâche m'indique que le programme ne répond pas.

- tentative de démarrage sans echec, ecran bleu avec une message "erreur 0x0000007b(0x7cc45528,0xc0000034,0x00000000,0x00000000)

En gros, je suis dans caca je vous dis pas !

Qui a une bonne idée (des mauvaises j'en ai plein !)

Merci, cordialement.

Publicité
chrifleur
 Posté le 05/05/2009 à 15:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

bonjour

regarde ce que te trouve malwarebytes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.

donc ...

Si tu as téléchargé des cracks, et c'est le cas puisque c'est comme cela que Bagle s'installe, supprime les car ils relancent l'infection dès que les ouvres

Télécharge FindyKill de Chiquitine29

Fais un clic droit sur le lien et choisis « enregistrer la cible » sous .... le Bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

* Double-clique sur le raccourci Findykill qui est sur ton bureau (Pour Vista, il faut un clic droit et exécuter en tant qu'administrateur).

* Choisis f puis valide par entrée pour utiliser la version française de l'outil,

* Choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil.

  • Une fois terminé, poste le rapport FindyKill.txt qui est généré. Le rapport est sauvegardé à la racine du disque :C:\FindyKill.txt

shob
 Posté le 05/05/2009 à 17:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci, je regarde ça ce soir et te reviens ce soir. Soit dit en passant, oui à la question que tu ne m'as pas posée, et je le ferai probablement plus, marre de batailler avec mon pc...

Cordialement.

shob
 Posté le 06/05/2009 à 08:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voici le résultat :

############################## [ FindyKill V4.728 ]

# User : Administrateur (Administrateurs) # ORDI-XPSP2
# Update on 03/05/09 by Chiquitine29
# Start at: 18:26:37 | 05/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 149,05 Go (72,2 Go free) [WINDOWS] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 1,9 Go (1,82 Go free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\winupgro.exe" (1104)

################## [ Fichiers / Dossiers infectieux ]

Found ! "C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers"
Found ! "C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\downld"
Found ! "C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\srosa2.sys"
Found ! "C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\wfsintwq.sys"
Found ! "C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\winupgro.exe"

################## [ Infected Temp Files ]


################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-602162358-73586283-1801674531-500\Software\Local AppWizard-Generated Applications\patch
Found ! HKEY_USERS\S-1-5-21-602162358-73586283-1801674531-500\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-602162358-73586283-1801674531-500\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-602162358-73586283-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

################## [ Recherche dans supports amovibles]


################## [ Registre / Mountpoints2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.728 ! ]

Qu'en dis tu ? Refaire le scan et supprimer ? Concéquences de la suppression ? La suppression va supprimer le pb, les messages au démarrage "mqtgsvc" ?
Merci.

chrifleur
 Posté le 06/05/2009 à 09:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

findykill va supprimer l'infection et on verra ensuite si le message reste, à supprimer ce message et à bien tout nettoyer et remettre en route car bagle fait souvent pas mal de dégats collatéraux, il faudra vérifier que tout tes logiciels fonctionnent correctement et éventuellement, en particulier pour antivirus et pare feu, il est fort probable que tu doives les réinstaller, mais ceci en fin de désinfection quand je te le dirais ...

surtout tu réponds à mes questions

1/

Relance FindyKill :

(vérifie que les supports amovibles susceptibles d'avoir été infectés sont branchés)

-> choisis cette fois-ci l'option 2 (suppression).

durant la procédure, l'ordinateur va redémarrer !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , cliques sur " Ok " .

poste le nouveau rapport FindyKill.txt

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .

2/

teste antivirus et pare feu ainsi que tous tes anti et dis moi s'ils fonctionnent

si ce n'est pas le cas, tu supprimes et tu réinstalles en priorité antivirus et pare feu

3/

teste ta connexion internet et dis moi si elle fonctionne à nouveau correctement

4/

ensuite tu suis ce tutoriel et tu me postes le rapport obtenu

https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

edit : correction orthographe



Modifié par chrifleur le 06/05/2009 09:08
shob
 Posté le 06/05/2009 à 11:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci, je te reviens dès que c'est fait.

chrifleur
 Posté le 06/05/2009 à 11:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

moi par contre je ne serai plus présente aujourd'hui,

boulot ==> 19 h puis réunion de travail ==> très tard...

donc à demain matin

shob
 Posté le 06/05/2009 à 14:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voilà, c'est fait.
Semble aller beaucoup mieux.
Tout refonctionne.
J'ai réinstallé antivir, spybot, firewall, fonctionnent. La connection internet aussi, ce qui m'a permi de mettre antivir et spybot à jour. Antivir en cours de travail, je laisse finir, a apparemment rencontré 4 virus pour l'instant (je suis reparti travailler, le laissant fonctionner jusque ce soir).
Toujours les messages dans sles boîtes de dialogue à l'ouverture de windows, sur le bureau.
J'ai passé RSIT, dont tu trouveras le résultat ci dessous, et pendant son passage, une fenêtre s'est affichée m'indiquant que le programme "administrateur.exe" situé dans "mes documents " n'était pas compatible win32... Peut-être en lien avec les fenêtre qui s'ouvrent au démarrage sur le bureau ?
Voici le log de RSIT :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-05-06 13:14:09
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 74 GB (48%) free of 153 GB
Total RAM: 1024 MB (70% free)


======Scheduled tasks folder======

C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job
C:\WINDOWS\tasks\Spybot - Search & Destroy Updater - Scheduled Task.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-07 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-07 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"!AVG Anti-Spyware"=C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe [2007-06-11 6731312]
"Ad-Watch"=C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe [2009-01-18 506712]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-05-04 2144088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
Mixer.exe /startup []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OFFICEKB]
C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe [2009-02-28 387584]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-07 148888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"=C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll [2007-05-30 79408]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableLUA"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"ClearDocsOnExit"=64
"MemCheckBoxInRunDlg"=1
"NoSMBalloonTip"=1
"NoDesktopCleanupWizard"=1
"NoWelcomeScreen"=1
"NoAutoUpdate"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e61b20e-1c30-11de-af26-0004e2f5e7fe}]
shell\AutoRun\command - F:\DPFMate.exe


======List of files/folders created in the last 1 months======

2009-05-06 13:14:09 ----D---- C:\rsit
2009-05-06 12:57:29 ----A---- C:\FindyKill.txt
2009-05-05 18:36:21 ----D---- C:\FindyKill
2009-05-05 12:32:52 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-05-05 12:32:16 ----HDC---- C:\Documents and Settings\All Users.WINDOWS\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-05 12:31:32 ----D---- C:\Program Files\Lavasoft
2009-05-05 12:31:32 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2009-05-05 12:29:16 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2009-05-05 12:29:15 ----D---- C:\Program Files\Grisoft
2009-05-04 21:22:07 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-05-04 19:43:44 ----A---- C:\WINDOWS\cmstp.exe
2009-05-04 19:02:41 ----A---- C:\WINDOWS\logman.exe
2009-05-04 19:01:48 ----A---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\mstsc.exe
2009-04-30 20:36:13 ----D---- C:\Program Files\Avira
2009-04-30 20:36:13 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2009-04-15 19:58:57 ----D---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\Canon
2009-04-15 19:04:32 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-04-15 19:04:24 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-04-15 19:01:45 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-04-15 19:01:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-04-15 19:01:02 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-04-15 19:00:50 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-04-11 11:37:41 ----D---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\Media Player Classic
2009-04-11 11:28:56 ----D---- C:\digitalvideoconverter
2009-04-11 11:07:51 ----D---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\ImTOO Software Studio
2009-04-11 10:50:48 ----D---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\AVS4YOU
2009-04-11 10:50:44 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\AVS4YOU
2009-04-11 10:49:02 ----A---- C:\WINDOWS\system32\msvcr70.dll
2009-04-11 10:49:02 ----A---- C:\WINDOWS\system32\msvcp70.dll
2009-04-11 10:49:02 ----A---- C:\WINDOWS\system32\mfc70.dll
2009-04-11 10:49:02 ----A---- C:\WINDOWS\system32\GdiPlus.dll
2009-04-11 10:49:01 ----A---- C:\WINDOWS\system32\msxml3a.dll

======List of files/folders modified in the last 1 months======

2009-05-06 13:12:13 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2009-05-06 13:12:07 ----D---- C:\WINDOWS\Debug
2009-05-06 13:12:06 ----D---- C:\WINDOWS
2009-05-06 13:12:00 ----D---- C:\WINDOWS\Temp
2009-05-06 13:10:44 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-06 13:09:45 ----D---- C:\Config.Msi
2009-05-06 13:09:44 ----D---- C:\WINDOWS\WinSxS
2009-05-06 13:09:42 ----SHD---- C:\WINDOWS\Installer
2009-05-06 13:07:33 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-05-06 12:57:26 ----HD---- C:\WINDOWS\inf
2009-05-06 12:54:47 ----A---- C:\WINDOWS\system32\acs.exe
2009-05-05 18:12:06 ----D---- C:\WINDOWS\system32\drivers
2009-05-05 13:23:23 ----A---- C:\HijackThis.exe
2009-05-05 12:36:51 ----A---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\QuickZip45.ini
2009-05-05 12:32:52 ----D---- C:\WINDOWS\system32
2009-05-05 12:31:32 ----RD---- C:\Program Files
2009-05-04 22:12:45 ----D---- C:\WINDOWS\system
2009-05-04 21:26:15 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-05-04 20:23:03 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-05-04 19:51:51 ----D---- C:\Program Files\RegClean
2009-05-04 19:36:14 ----D---- C:\Program Files\Mozilla Firefox
2009-05-04 19:06:34 ----D---- C:\Program Files\eMule
2009-05-04 19:03:51 ----SD---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\Microsoft
2009-05-04 19:02:54 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\VSO
2009-05-04 18:53:10 ----D---- C:\Program Files\Mozilla Thunderbird
2009-05-01 18:45:53 ----D---- C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\dvdcss
2009-04-29 19:38:08 ----SD---- C:\WINDOWS\Tasks
2009-04-15 19:51:00 ----D---- C:\WINDOWS\system32\wbem
2009-04-15 19:51:00 ----D---- C:\WINDOWS\AppPatch
2009-04-15 19:04:34 ----D---- C:\WINDOWS\system32\DllCache
2009-04-15 19:04:10 ----D---- C:\WINDOWS\system32\fr-fr
2009-04-15 19:04:10 ----D---- C:\Program Files\Internet Explorer
2009-04-15 19:01:36 ----HD---- C:\WINDOWS\$hf_mig$
2009-04-11 18:22:52 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Adobe
2009-04-11 18:22:44 ----D---- C:\Program Files\Adobe
2009-04-11 10:59:57 ----D---- C:\Program Files\AVS4YOU
2009-04-11 10:50:07 ----D---- C:\Program Files\Fichiers communs\AVSMedia
2009-04-11 10:49:16 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
2009-04-08 20:28:30 ----D---- C:\Program Files\NaviCave

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40576]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2006-07-24 5632]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.10; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2009-02-13 15890]
R2 NwlnkIpx;Protocole de transport compatible NWLink IPX/SPX/NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320]
R2 NwlnkNb;NetBIOS NWLink; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2001-08-24 63232]
R2 NwlnkSpx;Protocole NWLink SPX/SPXII; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2001-08-24 55936]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2004-08-04 701440]
R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINDOWS\system32\drivers\cmaudio.sys [2002-11-18 377358]
R3 NWRDR;NetWare Rdr; C:\WINDOWS\system32\DRIVERS\nwrdr.sys [2008-04-13 163584]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-02-19 47360]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 AR5523;Atheros USB Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5523.sys [2005-06-09 288448]
S3 ATHFMWDL;Atheros USB Wireless Adapter Bootloader driver; C:\WINDOWS\System32\Drivers\ATHFMWDL.sys [2005-06-09 43392]
S3 PCASp50;PCASp50 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\PCASp50.sys [2005-11-19 20096]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-03-07 152984]
R2 NWCWorkstation;Service client pour NetWare; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ACS;Atheros Configuration Service; C:\WINDOWS\system32\acs.exe [2009-05-06 36864]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

Je suis à ton écoute pour la suite.

Merci, cordialement.

chrifleur
 Posté le 07/05/2009 à 07:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

bagle est éradiqué mais il en reste...

Télécharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l'option 1( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
43,46 €SSD Crucial BX500 480 Go à 43,46 € livré
Valable jusqu'au 05 Août

Amazon Espagne propose actuellement le nouveau SSD Crucial BX500 480 Go à 38,88 € (avec la TVA ajustée). Comptez 4,58 € pour la livraison en France, soit un total de 43,46 € livré alors qu'on le trouve ailleurs à plus de 55 €. Ce SSD offre des débits de 540 Mo/s en lecture et 500 Mo/s en écriture. Le SSD est accompagné du logiciel Acronis true image qui vous permettra de transférer tout le contenu de votre ancien disque dur sur le SSD. Il est garanti 3 ans. 

Vous pouvez utiliser votre compte Amazon France sur Amazon Espagne et il n'y a pas de frais de douane.


> Voir l'offre
28,04 €Support écran PC / TV pivotant sur pied (26 à 55 pouces, max 45 kg) à 28,04 €
Valable jusqu'au 07 Août

Amazon propose actuellement le support écran PC / TV pivotant sur pied Bontec à 28,04 € seulement grâce à un coupon de réduction à activer sur la page du produit. Ce support est adapté aux écrans plats de 26 à 55 pouces LED, LCD et PLASMA à compatibilité VESA de 100x100 jusqu'à 400x400.  Il supporte jusqu'à 45Kg, est régable en hauteur et cache les câbles disgracieux à l'arrière. Vous pouvez le mettre par exemple sur un meuble pour surélever votre TV ou votre PC (et mettre une enceinte dessous ?) sans avoir besoin de percer le mur.


> Voir l'offre
154,90 €Mini PC AcePC AK3 (Celeron J4125, 8 Go RAM, 128 Go SSD) à 154,90 €
Valable jusqu'au 04 Août

Amazon propose actuellement le mini PC AcePC AK3 à 154,90 € grâce à un coupon de réduction à activer sur la page du produit au lieu de 250 €. Ce mini PC au format NUC d'Intel possède un processeur Intel Celeron J4125 (4 coeurs) avec chip graphique intégré, 8 Go de RAM DDR4 et un SSD de 128 Go. Il dispose d'une connectique complète : un emplacement 2,5 pouces libre (pour ajouter un disque dur ou un SSD supplémentaire, le WiFi, le bluetooth 4.2, 2 ports USB 3.0, deux ports HDMI 2.0, un VGA, un port Ethernet Gigabit et tourne sous Windows 10 Pro. Branchez ce mini PC sur une TV ou un écran et vous avez un ordinateur discret et efficace.


> Voir l'offre

Sujets relatifs
Après un virus Windows ne trouve plus BOOT.exe
Virus: Windows ne trouve plus BOOT.exe
copie d'un anti-virus recommandé par Windows
Windows ne trouve pas : C/Documents
Dr.Web Scanner, trouve des virus sur des applications gratuite
pc bloque au démarrage windows 7 (virus?)
Windows Version Installer. Virus?
virus (?) faisant buguer le texte + M.A.J. impossible de windows
Virus qui a pris le controle de explorer windows 7
Gros soucis de lenteur : Windows 8.1
Plus de sujets relatifs à windows ne trouve pas mqtgsvc.exe + gros pb virus
 > Tous les forums > Forum Sécurité