infection Bagle.dldr + hijackThis pas une application win32 valide

[ben6tm]

Bonjour,

 

Je me suis fais infecter par le virus Bagle.

J'ai essayé d'installer différents utilitaires mais la plupart, comme hijackThis affichent l'erreur suivante: "n'est pas une application win32 valide"

De plus a chaque demarrage, une fenetre "select file to crack" s'affiche qui je pense relance le virus.

Pour le moment seul ELIBAGLA peut se lancer, il repère le virus et l'elimine, (apparement) mais au redemarrage le "select file to crack" le virus se relance.

 

Merci de votre aide!

[pear]

Bonjour,

 

bagle est installé par des cracks.Vous seriez bien inspiré avant toute chose d'en supprimer les derniers.

 

Ne pas utiliser le mode Sans Echec !

Vider la corbeille.

 

* Faire un scan en ligne Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

 

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :Cybersécurité

http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

NOTE: Le scan est à faire avec Internet Explorer.

 

Postez le rapport Elibagla qui se trouve ici > C:\InfoSat.txt

[ben6tm]

Merci pour votre reponse,

 

Voici déjà le rapport ELIBAGLA, il trouve le virus dans JUSCHED.EXE

 

 

 

 

Tue Mar 11 11:20:18 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.

 

Tue Mar 11 11:21:29 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\eMule\Incoming\TRANSTYPE SE 2.5.1 CRACKED.ZIP --> Eliminado Bagle.dldr

C:\Program Files\eMule\Incoming\TRANSTYPE SE 2.5.1.ZIP --> Eliminado Bagle.dldr

C:\Program Files\eMule\Incoming\TransType SE 2.5.1 Cracked\TRANSTYPE SE 2.5.1 CRACKED.EXE --> Eliminado Bagle.dldr

C:\Program Files\Java\j2re1.4.2_03\bin\JUSCHED.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 15290

Nº Total de Ficheros: 198760

Nº de Ficheros Analizados: 11259

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

 

Tue Mar 11 11:35:28 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 873

Nº Total de Ficheros: 11546

Nº de Ficheros Analizados: 51

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

 

Tue Mar 11 11:35:47 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 15290

Nº Total de Ficheros: 198762

Nº de Ficheros Analizados: 11255

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Tue Mar 11 11:48:14 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 11:48:57 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 15292

Nº Total de Ficheros: 198791

Nº de Ficheros Analizados: 11256

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Tue Mar 11 12:02:57 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 12:09:16 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 12:09:54 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Java\j2re1.4.2_03\bin\JUSCHED.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 15291

Nº Total de Ficheros: 198737

Nº de Ficheros Analizados: 11258

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

 

Tue Mar 11 12:23:35 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 12:29:46 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 13:13:53 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 13:14:03 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Java\j2re1.4.2_03\bin\JUSCHED.EXE --> Eliminado Bagle.dldr

 

Tue Mar 11 13:19:12 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Reinicie para Completar la Limpieza.

 

Tue Mar 11 14:54:25 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

 

Tue Mar 11 15:34:55 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Tue Mar 11 15:35:08 2008

EliBagle v11.12 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Java\j2re1.4.2_03\bin\JUSCHED.EXE --> Eliminado Bagle.dldr

 

Nº Total de Directorios: 15367

Nº Total de Ficheros: 161037

Nº de Ficheros Analizados: 11320

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[ben6tm]

Et voilà le rapport kaspersky.

 

Qui a bien trouvé des fichiers infectés, et ceci, après le scan ELIBALGA

 

Merci pour votre aide, j'attends la suite des opérations!

 

 

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Tuesday, March 11, 2008 7:51:32 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 11/03/2008

Kaspersky Anti-Virus database records: 564052

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: standard

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

C:\

D:\

E:\

 

Scan Statistics:

Total number of scanned objects: 200641

Number of viruses found: 5

Number of infected objects: 21

Number of suspicious objects: 0

Duration of the scan process: 02:10:19

 

Infected Object Name / Virus Name / Last Action

C:\Documents and Settings\All Users\Application Data\FLEXnet\adobe_00080000_tsf.data Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee.com\Agent\Logs\TaskScheduler\McTskshd000.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\QSLLPSVCShare Object is locked skipped

C:\Documents and Settings\ben\Application Data\Microsoft\Modèles\Normal.dot Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\cert8.db Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\formhistory.dat Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\history.dat Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\key3.db Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\parent.lock Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\search.sqlite Object is locked skipped

C:\Documents and Settings\ben\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\urlclassifier2.sqlite Object is locked skipped

C:\Documents and Settings\ben\Bureau\Archive\TRAD_MANQUANTES.doc Object is locked skipped

C:\Documents and Settings\ben\Bureau\Archive\UK\TRAD_MANQUANTES-ANG.doc Object is locked skipped

C:\Documents and Settings\ben\Bureau\Archive\UK\Votre de¦üfi a bien e¦üte¦ü envoye¦ü-ANG.doc Object is locked skipped

C:\Documents and Settings\ben\Bureau\BACK_mars08\COQ_SPORTIF\SOURCES\trads_coq\trads_coq\fichier-trad-ANG.doc Object is locked skipped

C:\Documents and Settings\ben\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Identities\{9EA80CF4-4B0C-40F6-9D77-D0174F8EB8E2}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Identities\{9EA80CF4-4B0C-40F6-9D77-D0174F8EB8E2}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Messenger\benz1024@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Messenger\benz1024@hotmail.com\SharingMetadata\pending.dat Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Messenger\benz1024@hotmail.com\SharingMetadata\Working\database_72C0_A03E_C0A0_A85\dfsr.db Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Messenger\benz1024@hotmail.com\SharingMetadata\Working\database_72C0_A03E_C0A0_A85\fsr.log Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Messenger\benz1024@hotmail.com\SharingMetadata\Working\database_72C0_A03E_C0A0_A85\fsrtmp.log Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Messenger\benz1024@hotmail.com\SharingMetadata\Working\database_72C0_A03E_C0A0_A85\tmp.edb Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Windows Live Contacts\benz1024@hotmail.com\real\members.stg Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Microsoft\Windows Live Contacts\benz1024@hotmail.com\shadow\members.stg Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\Cache\_CACHE_001_ Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\Cache\_CACHE_002_ Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\Cache\_CACHE_003_ Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Application Data\Mozilla\Firefox\Profiles\yz4h9inu.default\Cache\_CACHE_MAP_ Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Historique\History.IE5\MSHist012008031120080312\index.dat Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\alm.log Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\amt.log Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\IMGE.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DF22A7.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DF3C83.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DF3CCA.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DF4EE6.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DF8386.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFD2F0.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFE0DA.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFE2B3.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFE2E5.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFEFE1.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFF423.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~DFF42B.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~WRF0000.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temp\~WRS0001.tmp Object is locked skipped

C:\Documents and Settings\ben\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\ben\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\ben\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Fichiers communs\Adobe\Adobe PCD\cache\cache.db Object is locked skipped

C:\Program Files\Fichiers communs\Adobe\Adobe PCD\pcd.db Object is locked skipped

C:\Program Files\Fichiers communs\Adobe\caps\caps.db Object is locked skipped

C:\Program Files\xampp\apache\logs\access.log Object is locked skipped

C:\Program Files\xampp\apache\logs\error.log Object is locked skipped

C:\Program Files\xampp\apache\logs\ssl_request.log Object is locked skipped

C:\Program Files\xampp\mysql\data\D4T60Z1J.err Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{CFB1617D-F601-4675-970C-6F1F1284B2FA}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\Antiviru.evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\msfont.dll Infected: Trojan-Downloader.Win32.Agent.kgv skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From <els@lab-au.com>][Date Sun, 15 Aug 2004 13:55:35 +0100]/UNNAMED/Msg.zip/cjyajrq.exe Infected: Email-Worm.Win32.Bagle.g skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From <els@lab-au.com>][Date Sun, 15 Aug 2004 13:55:35 +0100]/UNNAMED/Msg.zip Infected: Email-Worm.Win32.Bagle.g skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From <els@lab-au.com>][Date Sun, 15 Aug 2004 13:55:35 +0100]/UNNAMED Infected: Email-Worm.Win32.Bagle.g skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From redaction@journaldumanagement.com][Date Tue, 7 Sep 2004 15:27:32 +0200]/UNNAMED/benjamin@lab-au.com.zip/benjamin@lab-au.com.htm .com Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From redaction@journaldumanagement.com][Date Tue, 7 Sep 2004 15:27:32 +0200]/UNNAMED/benjamin@lab-au.com.zip Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From redaction@journaldumanagement.com][Date Tue, 7 Sep 2004 15:27:32 +0200]/UNNAMED Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From cic@wlc.ac.uk][Date Wed, 8 Sep 2004 15:45:32 +0200]/UNNAMED/text.scr Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From cic@wlc.ac.uk][Date Wed, 8 Sep 2004 15:45:32 +0200]/UNNAMED Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "Post Office" <noreply@lab-au.com>][Date Wed, 15 Sep 2004 18:25:26 +0200]/UNNAMED/benjamin@lab-au.com.zip/benjamin@lab-au.com.zip/benjamin@lab-au.com.htm .pif Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "Post Office" <noreply@lab-au.com>][Date Wed, 15 Sep 2004 18:25:26 +0200]/UNNAMED/benjamin@lab-au.com.zip/benjamin@lab-au.com.zip Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "Post Office" <noreply@lab-au.com>][Date Wed, 15 Sep 2004 18:25:26 +0200]/UNNAMED/benjamin@lab-au.com.zip Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "Post Office" <noreply@lab-au.com>][Date Wed, 15 Sep 2004 18:25:26 +0200]/UNNAMED Infected: Email-Worm.Win32.Mydoom.m skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "REGIONS BANK" <us-support00@regions.com>][Date Wed, 2 Feb 2005 07:17:29 +0100]/UNNAMED/UNNAMED/html Infected: Trojan-Spy.HTML.Bankfraud.cr skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "REGIONS BANK" <us-support00@regions.com>][Date Wed, 2 Feb 2005 07:17:29 +0100]/UNNAMED/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.cr skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx/[From "REGIONS BANK" <us-support00@regions.com>][Date Wed, 2 Feb 2005 07:17:29 +0100]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.cr skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\lments supprims.dbx Mail MS Outlook 5: infected - 15 skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\outlook\Inbox+.dbx/[From Mail Delivery Subsystem <MAILER-DAEMON@optimal.optimalweb.com>][Date Wed, 12 May 2004 12:08:23 -0500]/UNNAMED/[From 139.194-201-80.adsl.skynet.be [80.201.194.139]]/UNNAMED/[From "pop.lab-au.com"<benjamin@lab-au.com>][Date Wed, 12 May 2004 07:34:32 -0500]/html Infected: Email-Worm.Win32.Wallon.a skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\outlook\Inbox+.dbx/[From Mail Delivery Subsystem <MAILER-DAEMON@optimal.optimalweb.com>][Date Wed, 12 May 2004 12:08:23 -0500]/UNNAMED/[From 139.194-201-80.adsl.skynet.be [80.201.194.139]]/UNNAMED Infected: Email-Worm.Win32.Wallon.a skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\outlook\Inbox+.dbx/[From Mail Delivery Subsystem <MAILER-DAEMON@optimal.optimalweb.com>][Date Wed, 12 May 2004 12:08:23 -0500]/UNNAMED Infected: Email-Worm.Win32.Wallon.a skipped

D:\[ALIQUIDSTUDIO]\[LE STUDIO]\[CONTACTS]\[ALIQUIDSTUDIO] - contacts\outlook\Inbox+.dbx Mail MS Outlook 5: infected - 3 skipped

 

Scan process completed.

[pear]

Bonsoir,

 

renommer Combo-fix

http://forum.pcastuces.com/sujet.asp?f=25&s=37315

Il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter cette infection.

Bagle cible tout fichier nommé ComboFix et lui saute dessus, ce qui vous donne un message d'erreur.

Le télécharger sur ce lien:

http://download.bleepingcomputer.com/sUBs/Combo-Fix.exe

*Double cliquer sur combofix.exe pour le lancer.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas, Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé, cela pourrait prendre un certain temps,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.[/color]

[ben6tm]

J'ai bien suivi votre procédure, Combo-Fix a bien tourné en faisant les différentes etapes, puis il a fait redemarrer mon ordi. Au redemarrage il s'est relancé en disant qu'il faisait un rapport, ça a duré un petit moment puis la fenetre s'est fermée sans que je ne vois de rapport.

 

Du coup j'ai essayé de relancer comboFix et la la fenetre bleue s'ouvre, mais j'ai un message de mon firewall que je n'ai pas eu avant qui me demande si je veux autoriser C:\combo-Fix\nircmd.cfexe a acceder a internet, est ce que j'autorise ou je bloque? (mon firewall est macafee)

 

Merci

[ben6tm]

Bon j'ai finalement bloqué ce fichier, puis le scan comboFIx s'est déroulé apparement normalement et m'a généré un rapport.

Juste à la fin, j'ai eu le message d'erreur (par windows) teatimer.exe n'est pas une application win32 valide (apparement lancé avec spybot search&destroy).

 

Bref voici le rapport:

 

ComboFix 08-03-03.15 - ben 2008-03-11 21:54:01.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1480 [GMT 1:00]

Endroit: C:\Documents and Settings\ben\Bureau\Combo-Fix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\WINDOWS\regedit.com

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\system32\taskmgr.com

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_SROSA

 

 

 

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-11 to 2008-03-11 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-11 15:40 . 2008-03-11 15:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-03-11 15:07 . 2008-03-11 15:07 0 --a------ C:\23990098.$$$

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\zts2.exe

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\rundll16.exe

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\rundl132.dll

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\logo1_.exe

2008-03-11 14:56 . 2004-08-05 13:00 153,088 --a------ C:\WINDOWS\R.COM

2008-03-11 14:56 . 2004-08-05 13:00 143,360 --a------ C:\WINDOWS\system32\T.COM

2008-03-11 14:56 . 2008-03-11 14:56 26 --a------ C:\WINDOWS\Lic.xxx

2008-03-11 14:53 . 2008-03-11 14:53 <REP> d-------- C:\Program Files\Spyware Doctor

2008-03-11 14:53 . 2008-03-11 14:53 <REP> d-------- C:\Documents and Settings\ben\Application Data\PC Tools

2008-03-11 14:53 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-03-11 14:53 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-03-11 14:53 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-03-11 14:53 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-03-11 12:51 . 2008-03-11 12:51 <REP> d-------- C:\scscc20

2008-03-10 22:11 . 2008-03-10 22:11 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-03-10 13:42 . 2008-03-10 13:42 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-10 13:42 . 2008-03-10 13:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-03-10 13:21 . 2008-03-10 13:21 <REP> d-------- C:\Program Files\Lavasoft

2008-03-10 13:21 . 2008-03-10 13:21 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-10 13:21 . 2008-03-10 13:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-03-10 13:11 . 2008-03-10 13:11 <REP> d-------- C:\Program Files\Alwil Software

2008-03-10 13:11 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-03-10 13:11 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-03-10 13:11 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-03-10 13:11 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-03-10 13:11 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-03-10 13:11 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-03-10 13:11 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-03-10 13:11 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-03-10 12:16 . 2008-03-10 12:16 <REP> d-------- C:\Program Files\Trend Micro

2008-03-10 11:43 . 2008-03-11 13:08 <REP> d-------- C:\Program Files\FontLab

2008-03-08 19:16 . 2008-03-11 20:53 <REP> d-------- C:\Program Files\eMule

2008-03-05 11:40 . 2004-08-05 13:00 1,875,968 --a------ C:\WINDOWS\system32\msir3jp.lex

2008-03-05 11:40 . 2004-08-05 13:00 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll

2008-03-05 11:40 . 2004-08-05 13:00 1,158,818 --a------ C:\WINDOWS\system32\korwbrkr.lex

2008-03-05 11:40 . 2004-08-05 13:00 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll

2008-03-05 11:40 . 2004-08-05 13:00 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll

2008-03-05 11:40 . 2004-08-05 13:00 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll

2008-03-05 11:40 . 2004-08-05 13:00 2,060 --a------ C:\WINDOWS\system32\noise.jpn

2008-03-05 11:40 . 2004-08-05 13:00 1,486 --a------ C:\WINDOWS\system32\noise.kor

2008-03-03 15:42 . 2008-03-03 15:42 <REP> d-------- C:\Program Files\7-Zip

2008-02-28 19:57 . 2008-02-28 19:57 <REP> d-------- C:\Documents and Settings\ben\scenes

2008-02-28 19:57 . 2008-02-28 19:57 <REP> d-------- C:\Documents and Settings\ben\.assistant

2008-02-28 19:41 . 2008-02-28 19:41 <REP> d-------- C:\Program Files\Next Limit

2008-02-27 23:28 . 2008-02-27 23:28 <REP> d-------- C:\Program Files\TimeAdjuster

2008-02-27 20:25 . 2008-03-11 13:07 <REP> d-------- C:\Program Files\FlashGet

2008-02-27 19:10 . 2008-02-27 19:10 <REP> d-------- C:\Documents and Settings\ben\Application Data\Publish Providers

2008-02-27 19:06 . 2008-02-27 19:06 <REP> d-------- C:\Documents and Settings\ben\Application Data\Sony

2008-02-27 19:05 . 2008-02-27 19:05 <REP> d-------- C:\Program Files\Vstplugins

2008-02-27 19:05 . 2008-02-27 19:05 <REP> d-------- C:\Program Files\Sony

2008-02-27 19:04 . 2008-02-27 19:04 <REP> d-------- C:\Program Files\Sony Setup

2008-02-27 17:18 . 2008-02-27 17:18 <REP> d-------- C:\Program Files\LCS_screensaver

2008-02-27 17:18 . 2008-02-27 17:23 1,225,451 --a------ C:\WINDOWS\LCS_screensaver.scr

2008-02-27 17:16 . 2008-02-27 17:16 <REP> d-------- C:\Program Files\LCS_SergioParisse

2008-02-27 17:16 . 2008-02-27 17:16 488,435 --a------ C:\WINDOWS\LCS_SergioParisse.scr

2008-02-27 17:14 . 2008-02-27 17:14 <REP> d-------- C:\Program Files\LCS_PopitoStarace

2008-02-27 17:14 . 2008-02-27 17:16 506,539 --a------ C:\WINDOWS\LCS_PopitoStarace.scr

2008-02-27 15:36 . 2008-02-27 15:36 <REP> d-------- C:\Program Files\LCS_FeelGood

2008-02-27 15:36 . 2008-02-27 15:35 659,107 --a------ C:\WINDOWS\LCS_FeelGood.scr

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-06 21:17 --------- d-----w C:\Program Files\Soulseek

2008-02-18 12:44 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-01-31 10:05 --------- d-----w C:\Program Files\MSN Messenger

2008-01-13 18:57 --------- d-----w C:\Documents and Settings\ben\Application Data\DivX

2008-01-13 18:15 --------- d-----w C:\Program Files\DivX

2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll

2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe

2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe

2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll

2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-03-11 13:49 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-07 01:52 7118848]

"nwiz"="nwiz.exe" [2005-07-07 01:52 1519616 C:\WINDOWS\system32\nwiz.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [ ]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 15:59 385024]

"Dell QuickSet"="C:\Program Files\Dell\QuickSet\quickset.exe" [2005-09-01 18:24 684032]

"Apoint"="C:\Program Files\Apoint\Apoint.exe" [2004-09-13 17:33 155648]

"DVDLauncher"="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]

"VSOCheckTask"="c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" [2008-03-11 14:36 139264]

"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2008-03-11 14:52 303104]

"MCUpdateExe"="C:\PROGRA~1\mcafee.com\agent\McUpdate.exe" [2008-03-11 14:49 212992]

"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 02:05 127035]

"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50 221184]

"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50 81920]

"VirusScan Online"="c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" [2008-03-11 14:53 180224]

"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-09-14 13:15 1327104]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-11-29 22:11 26112]

"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-11 14:25 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 17:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Autodesk\\3ds Max 9\\3dsmax.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\manager.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\server.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

 

R2 Apache2.2;Apache2.2;"C:\Program Files\xampp\apache\bin\apache.exe" -k runservice []

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-08-10 21:30:00 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

"2008-03-10 11:00:58 C:\WINDOWS\Tasks\Recherche de virus de McAfee.com - Mon ordinateur (D4T60Z1J-ben).job"

- c:\program files\mcafee.com\vso\mcmnhdlr.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-11 21:54:59

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-11 21:55:35

ComboFix-quarantined-files.txt 2008-03-11 20:55:27

.

2008-03-06 23:15:07 --- E O F ---

[pear]

Bonsoir,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

Drivers::

srosa

hldrrr

File::

C:\WINDOWS\system32\BAN_LIST.txt

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\system32\drivers\srosa.sys

C:\Windows\System32\drivers\hldrrr.exe

C:\WINDOWS\zts2.exe

C:\23990098.$$$

C:\WINDOWS\system32\vcmgcd32.dll

C:\WINDOWS\system32\iifgfgf.dll

C:\WINDOWS\rundll16.exe

C:\WINDOWS\rundl132.dll

C:\WINDOWS\logo1_.exe

C:\WINDOWS\system32\lsdelete.exe

 

 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=-

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=-

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=-

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= -

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 11 mars 2008 par pear

[ben6tm]

Voici le rapport:

 

ComboFix 08-03-03.15 - ben 2008-03-12 0:11:39.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1460 [GMT 1:00]

Endroit: C:\Documents and Settings\ben\Bureau\Combo-Fix.exe

Command switches used :: C:\Documents and Settings\ben\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\23990098.$$$

C:\WINDOWS\logo1_.exe

C:\WINDOWS\rundl132.dll

C:\WINDOWS\rundll16.exe

C:\WINDOWS\system32\BAN_LIST.txt

C:\WINDOWS\system32\drivers\down

C:\Windows\System32\drivers\hldrrr.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\iifgfgf.dll

C:\WINDOWS\system32\lsdelete.exe

C:\WINDOWS\system32\vcmgcd32.dll

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\zts2.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\23990098.$$$

C:\WINDOWS\system32\lsdelete.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-11 to 2008-03-11 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-11 15:40 . 2008-03-11 15:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\zts2.exe

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\rundll16.exe

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\rundl132.dll

2008-03-11 15:04 . 2008-03-11 15:04 <REP> d-a------ C:\WINDOWS\logo1_.exe

2008-03-11 14:56 . 2004-08-05 13:00 153,088 --a------ C:\WINDOWS\R.COM

2008-03-11 14:56 . 2004-08-05 13:00 143,360 --a------ C:\WINDOWS\system32\T.COM

2008-03-11 14:56 . 2008-03-11 14:56 26 --a------ C:\WINDOWS\Lic.xxx

2008-03-11 14:53 . 2008-03-11 14:53 <REP> d-------- C:\Program Files\Spyware Doctor

2008-03-11 14:53 . 2008-03-11 14:53 <REP> d-------- C:\Documents and Settings\ben\Application Data\PC Tools

2008-03-11 14:53 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-03-11 14:53 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-03-11 14:53 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-03-11 14:53 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-03-11 12:51 . 2008-03-11 12:51 <REP> d-------- C:\scscc20

2008-03-10 22:11 . 2008-03-10 22:11 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-03-10 13:42 . 2008-03-10 13:42 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-10 13:42 . 2008-03-10 13:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-03-10 13:21 . 2008-03-10 13:21 <REP> d-------- C:\Program Files\Lavasoft

2008-03-10 13:21 . 2008-03-10 13:21 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-10 13:21 . 2008-03-10 13:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-03-10 13:11 . 2008-03-10 13:11 <REP> d-------- C:\Program Files\Alwil Software

2008-03-10 13:11 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-03-10 13:11 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-03-10 13:11 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-03-10 13:11 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-03-10 13:11 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-03-10 13:11 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-03-10 13:11 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-03-10 13:11 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-03-10 12:16 . 2008-03-10 12:16 <REP> d-------- C:\Program Files\Trend Micro

2008-03-10 11:43 . 2008-03-11 13:08 <REP> d-------- C:\Program Files\FontLab

2008-03-08 19:16 . 2008-03-11 22:18 <REP> d-------- C:\Program Files\eMule

2008-03-05 11:40 . 2004-08-05 13:00 1,875,968 --a------ C:\WINDOWS\system32\msir3jp.lex

2008-03-05 11:40 . 2004-08-05 13:00 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll

2008-03-05 11:40 . 2004-08-05 13:00 1,158,818 --a------ C:\WINDOWS\system32\korwbrkr.lex

2008-03-05 11:40 . 2004-08-05 13:00 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll

2008-03-05 11:40 . 2004-08-05 13:00 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll

2008-03-05 11:40 . 2004-08-05 13:00 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll

2008-03-05 11:40 . 2004-08-05 13:00 2,060 --a------ C:\WINDOWS\system32\noise.jpn

2008-03-05 11:40 . 2004-08-05 13:00 1,486 --a------ C:\WINDOWS\system32\noise.kor

2008-03-03 15:42 . 2008-03-03 15:42 <REP> d-------- C:\Program Files\7-Zip

2008-02-28 19:57 . 2008-02-28 19:57 <REP> d-------- C:\Documents and Settings\ben\scenes

2008-02-28 19:57 . 2008-02-28 19:57 <REP> d-------- C:\Documents and Settings\ben\.assistant

2008-02-28 19:41 . 2008-02-28 19:41 <REP> d-------- C:\Program Files\Next Limit

2008-02-27 23:28 . 2008-02-27 23:28 <REP> d-------- C:\Program Files\TimeAdjuster

2008-02-27 20:25 . 2008-03-11 13:07 <REP> d-------- C:\Program Files\FlashGet

2008-02-27 19:10 . 2008-02-27 19:10 <REP> d-------- C:\Documents and Settings\ben\Application Data\Publish Providers

2008-02-27 19:06 . 2008-02-27 19:06 <REP> d-------- C:\Documents and Settings\ben\Application Data\Sony

2008-02-27 19:05 . 2008-02-27 19:05 <REP> d-------- C:\Program Files\Vstplugins

2008-02-27 19:05 . 2008-02-27 19:05 <REP> d-------- C:\Program Files\Sony

2008-02-27 19:04 . 2008-02-27 19:04 <REP> d-------- C:\Program Files\Sony Setup

2008-02-27 17:18 . 2008-02-27 17:18 <REP> d-------- C:\Program Files\LCS_screensaver

2008-02-27 17:18 . 2008-02-27 17:23 1,225,451 --a------ C:\WINDOWS\LCS_screensaver.scr

2008-02-27 17:16 . 2008-02-27 17:16 <REP> d-------- C:\Program Files\LCS_SergioParisse

2008-02-27 17:16 . 2008-02-27 17:16 488,435 --a------ C:\WINDOWS\LCS_SergioParisse.scr

2008-02-27 17:14 . 2008-02-27 17:14 <REP> d-------- C:\Program Files\LCS_PopitoStarace

2008-02-27 17:14 . 2008-02-27 17:16 506,539 --a------ C:\WINDOWS\LCS_PopitoStarace.scr

2008-02-27 15:36 . 2008-02-27 15:36 <REP> d-------- C:\Program Files\LCS_FeelGood

2008-02-27 15:36 . 2008-02-27 15:35 659,107 --a------ C:\WINDOWS\LCS_FeelGood.scr

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-06 21:17 --------- d-----w C:\Program Files\Soulseek

2008-02-18 12:44 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-01-31 10:05 --------- d-----w C:\Program Files\MSN Messenger

2008-01-13 18:57 --------- d-----w C:\Documents and Settings\ben\Application Data\DivX

2008-01-13 18:15 --------- d-----w C:\Program Files\DivX

2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-01-04 21:58 129,784 ------w C:\WINDOWS\system32\pxafs.dll

2008-01-04 21:58 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe

2008-01-04 21:58 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe

2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll

2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-03-11 13:49 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-07 01:52 7118848]

"nwiz"="nwiz.exe" [2005-07-07 01:52 1519616 C:\WINDOWS\system32\nwiz.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [ ]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 15:59 385024]

"Dell QuickSet"="C:\Program Files\Dell\QuickSet\quickset.exe" [2005-09-01 18:24 684032]

"Apoint"="C:\Program Files\Apoint\Apoint.exe" [2004-09-13 17:33 155648]

"DVDLauncher"="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]

"VSOCheckTask"="c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" [2008-03-11 14:36 139264]

"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2008-03-11 14:52 303104]

"MCUpdateExe"="C:\PROGRA~1\mcafee.com\agent\McUpdate.exe" [2008-03-11 14:49 212992]

"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 02:05 127035]

"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50 221184]

"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50 81920]

"VirusScan Online"="c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" [2008-03-11 14:53 180224]

"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-09-14 13:15 1327104]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-11-29 22:11 26112]

"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-11 14:25 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56 65588]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 17:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Autodesk\\3ds Max 9\\3dsmax.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\manager.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\server.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

 

R2 Apache2.2;Apache2.2;"C:\Program Files\xampp\apache\bin\apache.exe" -k runservice []

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-08-10 21:30:00 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

"2008-03-10 11:00:58 C:\WINDOWS\Tasks\Recherche de virus de McAfee.com - Mon ordinateur (D4T60Z1J-ben).job"

- c:\program files\mcafee.com\vso\mcmnhdlr.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-12 00:12:24

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-12 0:12:59

ComboFix-quarantined-files.txt 2008-03-11 23:12:51

ComboFix2.txt 2008-03-11 23:10:57

ComboFix3.txt 2008-03-11 20:55:42

.

2008-03-06 23:15:07 --- E O F ---

[pear]

Ok, c'est mieux.

 

Bagle a très probablement fait quelques dégats .

Généralement, ce sont les protections et le mode sans échec qui font problèmes et seront à réinstaller..

 

Mode sans échec:

 

Télécharger SafeBootKeyRepair de sUBs sur le bureau

http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe

* Double-cliquer sur l'exécutable pour le lancer (une fenêtre noire s'ouvre et demande d'attendre).

* (cela peut durer quelques minutes).

* Ne poster le rapport que s'il y a eu des erreurs !

* Supprimer le fichier SafeBootKeyRepair.exe.

 

Antivirus.

Vous aviez Avast:

Tests Avat vs Antivir

http://forum.malekal.com/viewtopic.php?f=4...fd3f7af39f95487

supprimer Avast

http://www.avast.com/fre/avast-uninstall-utility.html

 

Télécharger Antivir ( http://www.free-av.com).

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

--- Ce tutorial permet de le paramétrer aisément

http://www.malekal.com/tutorial_antivir.php

Désactivez votre antivirus actuel

 

Redémarrez en mode sans échec.

Lancez le scan

 

Postez le rapport

 

Antispyware:

Télécharger puis installer AVG Anti-Spyware (AVG AS)

http://www.ewido.net/en/download/

Une fois AVG AS lancé, cliquer sur "Mise à jour"

Fermer le programme.

 

Redémarrer en mode sans échec

 

Relancer AVG AS puis choisir l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", cliquer sur "Actions recommandées"et choisir"Quarantaine"

Re-cliquer sur l'onglet "Analyse" puis réaliser une "Analyse complète du système"

 

/!\ Si un fichier est infecté détécté en fin d'analyse /!\

Cliquer sur "Appliquer toutes les actions "

 

Cliquer sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistrer ce fichier texte sur le bureau.

 

Redémarrer normalement

Copier/Coller le rapport ici.

 

Réinstallez votre parefeu.

 

Faites un scan Hijackthis

 

Postez tous les rapports et vos commentaires svp.