infecté par srosa

talkbox70 · le 11 septembre 2008

Ok. Il te faut donc désinstaller Scenarist, ainsi que les softs de peer-to-peer s itu souhaites poursuivre dans de bonnes conditions.

oui j'ai desinstallé scenarist (je ne l'ai meme pas gardé) , je desinstalle de suite emule , utorrent et azureus (pour de vrai)

talkbox70 · le 11 septembre 2008

ça y est j'ai tout desinstallé

oGu · le 12 septembre 2008

OK, poursuivons alors!!

ELIBAGLA

Rend-toi sur la page de téléchargement d' ELIBAGLA (de ZonaVirus) en cliquant sur cette image:
En bas de la page, clique sur le bouton "DESCARGAR ELIBAGLA" et enregistre-le sur ton Bureau
Double-clique dessus pour l'ouvrir
Assure-toi que dans le menu déroulant Unidad, tu ais bien C:\
Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
Cliquez sur le bouton Explorar pour lancer l'analyse

Le fix va redémarrer ton PC s'il trouve Beagle puis créer un rapport: il se trouve ici > C:\InfoSat.txt. Poste-le dans ta prochaine réponse.

Modifié le 12 septembre 2008 par oGu

talkbox70 · le 12 septembre 2008

voici le rapport elibagla :

Fri Sep 12 13:35:52 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Sep 12 13:36:12 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4624

Nº Total de Ficheros: 56982

Nº de Ficheros Analizados: 6915

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

ya pas eu de redemarrage

oGu · le 12 septembre 2008

Normal pour le non-redémarrage, il n'y a plus de trace de Bagle !! Bonne nouvelle !!

On va maintenant fignoler le nettoyage:

HIJACKTHIS

Télécharge et installe la dernière version d' HIJACKTHIS [v2.0.2] en cliquant sur l'image:

Enregistre HJTInstall.exe sur ton bureau
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
- Accepte la licence en cliquant sur le bouton "I Accept"
- Choisis l'option "Do a system scan and save a log file"
- Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
- Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
- Colle le rapport que tu viens de copier sur ce forum
- Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Pour une aide détaillée en image, clique sur cette icône:

Modifié le 15 septembre 2008 par oGu

talkbox70 · le 12 septembre 2008

rapport HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:26:35, on 12/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\bgsvcgen.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions

O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/p...obat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E9F2B50-DF18-4AE5-9E85-5DA1DD46FDB5}: NameServer = 81.22.90.29 82.101.136.29

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--

End of file - 7014 bytes

oGu · le 12 septembre 2008

Je ne vois plus de trace d'infection, par contre tu as des toolbars, dont une assimilée à un spyware: AskBar.

TOOLBAR SD

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau en cliquant sur cette image:

Lance l'installation du programme en exécutant le fichier téléchargé.
Double-clique maintenant sur le raccourci de Toolbar-S&D.
Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
Poste le rapport généré. (C:\TB.txt)

Pour la barre Google:

TOOLBARS !

Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens:

Tiens, voilà les conditions d'utilisation de la toolbar Google:

Utilisation de Google (extrait des conditions d'utilisation):

"Informations personnelles et autres données collectées

* Google recueille des informations personnelles lorsque vous vous inscrivez à un service Google ou lorsque vous fournissez ces informations de votre propre initiative. Elles peuvent en outre être combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des contenus personnalisés.

* Google utilise des cookies et d'autres technologies afin de faciliter votre utilisation des services Google, afin d'étudier l'usage qui en est fait et plus généralement afin d'améliorer nos prestations.

* A chaque fois que vous consultez notre site Internet ou faites appel à nos services, les serveurs de Google enregistrent automatiquement des informations telles que l'URL, l'adresse IP, le type et la langue du navigateur, ainsi que la date et l'heure de la connexion.

* Pour plus d'informations, veuillez vous reporter à la version complète de la Charte de confidentialité de Google. "

Source: http://www.google.be/intl/fr/privacy.html

"La barre d'outils Google a été conçue pour être utilisée en combinaison avec les services de recherche Google. En conséquence, l'utilisation que vous faites de la barre d'outils Google est également définie par les Conditions d'utilisation et par les Règles de confidentialité énoncées par Google."

Source: http://tools.google.com/firefox/toolbar/FT...fr/install.html

Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement...

Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit:

DESINSTALLATION de la TOOLBAR

Relance HijackThis
Sélectionne "Do a system scan only"
Coche les lignes suivantes:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Ferme tes navigateurs (IE et/ou Firefox)
Clique en bas sur "Fix checked"
Fais redémarrer ton PC
Ouvre Firefox
Choisis Outils, puis Modules complémentaires
Cherche le module Google Toolbar et clique sur Désinstaller
Redémarre Firefox
Ouvre Internet Explorer
Choisis Outils.
Clique sur Gérer les modules complémentaires
Cherche le module Google Toolbar ou équivalent et désactive-le
Redémarre Internet Explorer
Désinstalle la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration

SUPPRIMER UN SERVICE

Dans le menu Démarrer, clique sur "exécuter"
Saisis cmd et valide avec "ok"
Dans l'invite qui s'ouvre, copie et colle cette ligne

sc stop gusvc

Valide avec OK
Copie-colle maintenant cette commande dans la fenêtre:

sc delete gusvc

Dès que tu as fini, tiens-moi au courant et poste un nouveau rapport HijackThis.

Modifié le 12 septembre 2008 par oGu

talkbox70 · le 12 septembre 2008

voici le rapport toolbar :

-----------\\ ToolBar S&D 1.1.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.06GHz )

BIOS : Award Modular BIOS v6.00PG

USER : talkbox ( Administrator )

BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1229 [VPS 080912-0] 4.8.1229 (Activated)

"C:\ToolBar SD" ( MAJ : 07-09-2008|12:20 )

Option : [1] ( 12/09/2008|18:49 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\AskSBar

C:\Program Files\AskSBar\bar

C:\DOCUME~1\talkbox\Cookies\talkbox@rapidlibrary.powered-by.zango[1].txt

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="about:blank"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

--------------------\\ Recherche d'autres infections

C:\WINDOWS\system32\drivers\downld

==> BAGLE <==

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\talkbox\Bureau\Canopus.GrassValley.ProCoder.3.00.50\Crack

C:\DOCUME~1\talkbox\Bureau\Canopus.GrassValley.ProCoder.3.00.50\Crack\Setup.exe

C:\DOCUME~1\talkbox\Bureau\Canopus.GrassValley.ProCoder.3.00.50\Crack\_crk.txt

C:\DOCUME~1\talkbox\Bureau\torrents\applications\[[Demonoid.com]]-Alcohol_120_v1_9_7_Crack_5342698.3056.torrent

C:\DOCUME~1\talkbox\Favoris\jeux\Cracks P.url

C:\DOCUME~1\talkbox\Recent\Crack.lnk

C:\DOCUME~1\talkbox\Recent\Sonic Scenarist 3.0.0.96484 Professional with AC3 Encoder (full version)--- NO CRACK NEEDED.lnk

1 - "C:\ToolBar SD\TB_1.txt" - 12/09/2008|18:49 - Option : [1]

-----------\\ Fin du rapport a 18:49:39,01

oGu · le 12 septembre 2008

Continue la procédure pour Google Toolbar STP.

talkbox70 · le 12 septembre 2008

non ya pas de google toolbar :

ya ask toolbar et ask toolbar BHO

le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:14:31, on 12/09/2008