Gros soucis

[darwin666666]

Salut à tous.

Je vous expose le problème.

Une amie à moi a chopé quelque chose sur le net mais je n'arrive à rien : impossible d'installer des logs anitivrus, il ne trouve pas l'instal, impossible de démarrer en mode sans échec entre autres. Voilà le rapport Hijackthis.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:18:34, on 27/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\TOSHIBA\Bluetooth Monitor\BtMon2.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe

I:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:/www.msn.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [smoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Bluetooth Monitor.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\fr-fr\msntabres.dll.mui/229?2237dd14d4c04700b56d3597d73310a8

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\fr-fr\msntabres.dll.mui/230?2237dd14d4c04700b56d3597d73310a8

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

Désolé.

Merci.

 

J'ai oublié wintems.exe, il me semblait que c'était mauvais et je l'avais arrêté avant le log...je le kill le bougre ?

Modifié le 27 février 2007 par darwin666666

[bruce lee]

Bonjour darwin666666,

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

On va verifier si tu as un rootkit:

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[darwin666666]

Et voila les 2 rapports :

 

blbeta.exe :

02/27/07 20:39:45 [info]: BlackLight Engine 1.0.55 initialized

02/27/07 20:39:45 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/27/07 20:39:45 [Note]: 7019 4

02/27/07 20:39:45 [Note]: 7005 0

02/27/07 20:39:48 [Note]: 7006 0

02/27/07 20:39:48 [Note]: 7011 1588

02/27/07 20:39:48 [Note]: 7026 0

02/27/07 20:39:49 [Note]: 7026 0

02/27/07 20:39:49 [Note]: 7024 3

02/27/07 20:39:49 [info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe

02/27/07 20:39:49 [Note]: 7024 3

02/27/07 20:39:49 [info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe

02/27/07 20:39:58 [Note]: FSRAW library version 1.7.1021

02/27/07 20:39:59 [info]: Hidden file: c:\Documents and Settings\céline\Application Data\hidires\hidr.exe

02/27/07 20:39:59 [Note]: 10002 2

02/27/07 20:39:59 [info]: Hidden file: c:\Documents and Settings\céline\Application Data\hidires\m_hook.sys

02/27/07 20:39:59 [Note]: 10002 2

02/27/07 20:39:59 [Note]: 10002 3

02/27/07 20:39:59 [Note]: 10002 3

02/27/07 20:39:59 [Note]: 10002 2

02/27/07 20:39:59 [Note]: 10002 2

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg

02/27/07 20:40:31 [Note]: 10002 3

02/27/07 20:40:31 [Note]: 10002 2

02/27/07 20:40:31 [Note]: 10002 2

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\imepaden.hlp

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\imepadsm.dll

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\imepadsv.exe

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs411.dll

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs412.dll

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll

02/27/07 20:41:30 [Note]: 10002 3

02/27/07 20:41:30 [Note]: 10002 2

02/27/07 20:41:30 [Note]: 10002 2

02/27/07 20:41:43 [info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe

02/27/07 20:41:43 [Note]: 10002 2

02/27/07 20:41:43 [info]: Hidden file: c:\WINDOWS\system32\wintems.exe

02/27/07 20:41:43 [Note]: 10002 2

02/27/07 20:42:12 [Note]: 2000 1012

02/27/07 20:42:12 [Note]: 2000 1012

02/27/07 20:42:27 [Note]: 7007 0

 

le smitfraudfix :

SmitFraudFix v2.144

 

Rapport fait à 20:43:12,12, 27/02/2007

Executé à partir de C:\Documents and Settings\c‚line\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\c‚line

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\c‚line\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CLINE~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Merci.

[bruce lee]

Re,

 

Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire.

 

Assure toi que le bouton Eliminar Ficheros Automaticamente soit coché.

 

Vérifie que C:\ soit sélectionné de Unidad.

 

Clique sur le bouton Explorar

 

Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

[darwin666666]

Et voici le rapport :

 

Tue Feb 27 20:52:31 2007

EliBagle v10.20 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CéLINE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle

C:\DOCUMENTS AND SETTINGS\CéLINE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.20

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Tue Feb 27 20:52:58 2007

EliBagle v10.20 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0007614.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008612.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008622.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008643.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008653.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008663.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008758.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008776.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008785.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP97\A0008796.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0008940.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0008951.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0008969.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0008977.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0009015.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0009029.EXE --> Eliminado Bagle

C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP99\A0009030.EXE --> Eliminado Bagle

 

il démarre en mode sans échec ! Encore des trucs à faire à part faire gaffe ?!

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

3/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

4/Supprime ce qui est en gras:

 

C:\WINDOWS\SYSTEM32\ HLDRRR.EXE.VIR<== le fichier

 

 

5/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

6/Redémarre en mode normal

 

7/Poste le rapport d'AVG Anti spyware 7.5

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[darwin666666]

Le fichier hldrrr.exe n'est pas présent là où te le dis mais dans d'autres dossier. Les fichiers sont :

 

hldrrr.exe.muestra elibaggle v10.20 dans le dossier C:Muestras

hldrrr.exe-21250d0f.pf dans le dossier C:WINDOWS/Prefetch

 

mais que sont ces fichiers ?!!

 

Le scan avg est ok.

 

Tout est ok ?

[bruce lee]

Bonjour,

 

Supprime celui qui se trouve dans le dossier Prefetch.

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

 

dans la nouvelle fenetre qui s'affiche clique sur J'accepte

 

On va te demander de télécharger un ou deux contôle active x, accepte . Laisse le faire les mises à jour puis quand il aura finit clique sur Suivant

 

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x soient bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

NOTE: le scan est a faire avec Internet Explorer

[darwin666666]

Désolé héhé. J'ai dit à la personne concernée de s'inscrire et de venir sur ce topic pour que tu t'adresses directement à elle. Elle ne devrait pas tarder...je pense. Sinon un grand merci à toi oooo grand maître du return-kick-dans-ta-face-de-méchant-communiste ! Simon.

[darwin666666]

...soit...ce sujet ne me concerne pas...ADMIIIIIIIN (ptet c'est magique...). J'ai posté ce topic pour une autre personne qui n'a pas accès au net. J'aimerais un topic pour mon prob à moi...s'il te plait...admin ?