scheuch

Ohhhhhhhh Miracle mcafee est reinstallé et tout est actif!!! On dirait qu'il marche a nouveau Par contre au démarrage avant j'ai remarqué qu'il y avait toujours "Regrun partizan rootkit" qui apparaissait

Bonjour à toi Je pensais pas que tu allais repondre si vite Voici le log HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:42:14, on 22/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Hercules\WiFi Station\WifiStation.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\DOCUME~1\Mireille\LOCALS~1\Temp\McDMTemp007\DwnldMgr.exe C:\Documents and Settings\Mireille\Bureau\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O4 - HKCU\..\RunOnce: [McWebDownlMgr] C:\DOCUME~1\Mireille\LOCALS~1\Temp\McDMTemp007\DwnldMgr.exe /runkey O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'Default user') O4 - Global Startup: WiFi Station.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O17 - HKLM\System\CS1\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O17 - HKLM\System\CS2\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O17 - HKLM\System\CS3\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O23 - Service: McAfee Application Installer Cleanup (0133851219329434) (0133851219329434mcinstcleanup) - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\013385~1.EXE (file missing) -- End of file - 2938 bytes

Voila le rapport de CureIt Testeur.exe\327882R2FWJFW\psexec.cfexe C:\Documents and Settings\Administrateur\Bureau\Testeur.exe Program.PsExec.171 Testeur.exe C:\Documents and Settings\Administrateur\Bureau L'archive contient des éléments infectés Quarantaine. test.exe\327882R2FWJFW\psexec.cfexe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine\test.exe Program.PsExec.171 test.exe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine L'archive contient des éléments infectés Quarantaine. Combo-Fix.exe\327882R2FWJFW\psexec.cfexe C:\Documents and Settings\Mireille\Bureau\Combo-Fix.exe Program.PsExec.171 Combo-Fix.exe C:\Documents and Settings\Mireille\Bureau L'archive contient des éléments infectés Quarantaine. A0000002.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000002.exe Program.PsExec.171 A0000002.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. A0000003.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000003.exe Program.PsExec.171 A0000003.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. A0000004.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000004.exe Program.PsExec.171 A0000004.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. A0000007.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000007.exe Program.PsExec.171 A0000007.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. A0000079.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000079.exe Program.PsExec.171 A0000079.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. A0000080.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000080.exe Program.PsExec.171 A0000080.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. A0000081.exe\327882R2FWJFW\psexec.cfexe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0\A0000081.exe Program.PsExec.171 A0000081.exe C:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP0 L'archive contient des éléments infectés Quarantaine. CodePostal.exe D:\Code Postal Trojan.PWS.Banker.20737 Supprimé. cpostal.exe\data002 D:\Nouveau dossier\cpostal.exe Trojan.PWS.Banker.20737 cpostal.exe D:\Nouveau dossier L'archive contient des éléments infectés Quarantaine. A0000083.exe D:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP1 Trojan.PWS.Banker.20737 Supprimé. A0000084.exe\data002 D:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP1\A0000084.exe Trojan.PWS.Banker.20737 A0000084.exe D:\System Volume Information\_restore{EC5E7376-8FDB-4BBA-B893-839341FB7AA6}\RP1 L'archive contient des éléments infectés Quarantaine. Now je vais desinstaller proprement mcafee et le reinstaller, je te tiens au courant.

Ok et merci encore, je suivrai tes instructions à la lettre Demain des que je serai la bas je transmettrai le rapport et te dirai ce qu'il en est de mcafee Pour ce qui est de ce qui est ecrit en rouge ya pas de soucis je peux le retelecharger vu que je suis abonné via free... Now je deconnecte a+++

J'ai du rentrer chez moi CureIt tournait encore qd je suis parti il etait a peine a la moitié, je te poste le rapport dans l'apres midi, je me leve tot demain je pouvais pas rester plus tard chez mes parents. Merci encore pour ton aide. Par contre, je ne sais pas si je l'avais preciser mai un detail vient de me revenir : au demarrage du pc je voiyais s'afficher brievement a l'ecran un message sur fond bleu clair commencant par : regrun partizan ... je te souhaite une bonne nuitée

Ok dis moi juste si je dois me mettre de preference en mode sans echec ou si c bon?

non je n'arrive plus a le relancer

celui la avait ete effacé je crois et un autre truc avait ete repere qui avait ete mis en quarantaine Pas moyen de relancer l'antivirus! il ne s'ouvre meme plus : la fenetre du mcafee security center s'ouvre puis disparait...

Le log d'elibagle (rien a signaler) Thu Aug 21 21:39:05 2008 EliBagle v11.66 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008) ---------------------------------------------- Lista de Acciones (por Acción Directa): Thu Aug 21 21:39:11 2008 EliBagle v11.66 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008) ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 3825 Nº Total de Ficheros: 38351 Nº de Ficheros Analizados: 9848 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 Le log d'Hijackthis (que je n'ai bizarrement plus besoin de renommer apres telechargement...) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:47:13, on 21/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\netdde.exe C:\Program Files\Hercules\WiFi Station\WifiStation.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe C:\Program Files\McAfee\MPF\MPFSrv.exe C:\Program Files\McAfee\MSK\MskSrver.exe C:\Program Files\SiteAdvisor\6172\SAService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\internet explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Mireille\Bureau\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'Default user') O4 - Global Startup: WiFi Station.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O17 - HKLM\System\CS1\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O17 - HKLM\System\CS2\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O17 - HKLM\System\CS3\Services\Tcpip\..\{35B3EFF2-D176-4CD0-9363-470ED3A77F48}: NameServer = 212.27.53.252,212.27.54.252 O23 - Service: McAfee Application Installer Cleanup (0133851219329434) (0133851219329434mcinstcleanup) - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\013385~1.EXE (file missing) O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6172\SAService.exe -- End of file - 4085 bytes Hmm ce que je comprends pas c que mc afee etant pas lancer, je le vois apparaitre en processus...

J'ai vire elbagla, je me suis reconnecté (sorti du mode sans echec et demarré en mode normal) j'ai reessaye avec combofix telechargé sous le nom Combo-Fix.exe : toujours le meme message... Pour le formatage c clair que je prefere un long scan

Alors pour Combo-Fix j'avais bien compris que cela semblait etre surprenant mais c bien le cas pourtant... Pour Eliblagla je l'avais dl directement via un lien sur un forum, le fichier etait : (je l'ai encore) ELIBAGLA.AIBH Concernant le mode sans echec : je le précise : je suis en mode sans echec mais en mode sans echec AVEC PRISE EN CHARGE RESEAU. Cependant j'imagine qu'il vaut mieux ne pas etre connecter pour eradiquer un virus... Sinon je prends toutes les solutions qui peuvent etre apporté (formatage ce serait vraiment en dernier recours par contre) je me bats contre ce merdier depuis mardi et je ne sais plus que faire, c'est une vraie plaie, et par moment g cru l'avoir eu et au final ct de nouveau la... C'est quoi CureIt ???<<--excuse c la fatigue lol

j'ai l'impression de passer pour un neuneu je t'assure de bien respecter la procédure (d'ailleur je l'avais deja fait avant hier mais j'ai plus les logs), mais la pas moyen, du coup je viens meme d'essayer executer au lieu d'enregistrer sous, mais tjrs le meme message il ne me laisse pas l'executer avec ce nom... peut etre du a l'infection...je ne sais pas mais en tout cas je viens de relire trois fois la procédure, + essayer deux fois de dl le fichier deja renommé par angelique et tjr la meme chose, et je precise que g bien couper mon antivirus

hmm ok donc j'ai telechargé via ton lien : meme message d'erreur

C'est bien comme ca que je fais, je viens d'essayer deux fois en faisant : "enregistrer la cible du lien sous" je choisis bureau et je modifie son nom en Combo-Fix Une fois cela faiscombofix se telecharge, et une fois finis je l'execute apparait alors une petite barre de chargement au mileu de l'ecran puis une fois la barre empli de bleu elle disparait et une fenetre nommé erreur s'ouvre avec pour contenu : "you cannot rename ComboFix as Combo-Fix. Please use another name, preferbaly made up of alphanumeric character" voila donc je suis un peu coincé du coup si ca ne sert a rien de renommer autrement. et dsl si g floodé

euhhh qd je le lance : you cannot rename combofix as Combo-Fix je le renomme "test" je suppose que c pas un pb?

ok c parti dsl angelique voulait pas te vexer

c'est lui qui m'a dit de faire tourner drweb...(cf page 1!)

je peux lancer combo-fix pendant que dr-web tourne ou j'ai mal compris et je dois attendre?

arg j'avais pas vu la deuxieme page, je faisais que actualiser sur la premiere. Ok toute facon g rien a cacher et je pense que tu sais tres bien comment on attrape cette merde lol et ct pas comme ca. Bref je voulais te demander si il fallat que je redemarre en mode normal ou en mode sans echec a la fin de l'analyse. Et au fait merci de m'aider

"effacé comme le post qui en parlait" sinon ben ca analyse encore mais il a deja repere un win32.hllm.beagle.224 donc c bien toujour le bagle... (fichier winbutler.exe) Dis moi au fait qd l'analyse sera fini je dois redemarrer en mode normal ou revenir en mode sans echec?

tu peux faire tous les commentaires que tu veux lol, en fait c pas mon pc c celui de mon pere, en meme temps ca aurait aussi pu m'arriver, mais je suis un peu plus prudent

non j'utilisais que 4% du processeur a ce moment la mais avec internet explorer ca buggait... avec mozilla firefox g reussi a le dl... ok je viens de lancer l'analyse complete, ca dure longtemps au fait?

ah c bon je l'ai je fais la manip now

argg ca fait deux fois que ie plante en essayant de dl drweb rnfin il rame et je peux plus naviguer en meme tps...

ok je fais ca je te reponds des que c fait