Votre question

infection virus type bagle: srosa.sys!! BESOIN D'AIDE!!!

Tags :
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Février 2008 15:58:02

Bonjour,

Je dispose sur mon ordinateur du système d'exploitation Windows 2000 et depuis une semaine et demie je ne peux plus allumer mon ordinateur en mode normal car je tombe automatiquement sur un écran bleu me précisant: "ce pilote doit etre défaillant: srosa.sys".
En parcourant les sites internet en mode sans échec je me suis rendu compte que c'était un virus de type bagle.

J'aimerais donc savoir s'il existe un moyen quelconque de virer cette m.... de mon ordinateur. Merci de me répondre svp en me précisant la démarche à adopter. Si cela vous est déjà arrivé, j'aimerais savoir comment vous avez procédé pour vous en sortir?!

Merci d'avance pour votre compréhension et pour l'intérêt que vous porterez à ce message.

Fabinho10.

Autres pages sur : infection virus type bagle srosa sys besoin aide

28 Février 2008 15:14:42

Salut,

Je ne pense pas que les Outils soient compatibles avec ta version de Windows.

Tu peux redémarrer en mode sans échec ?
Tant mieux.
Ne passe pas en mode sans échec via MSconfig!

Sélectionne l'intégralité du cadre ci-dessous :
@echo off & cls
CD \
echo Veuillez signaler tous les messages d'erreurs apparus dans ce batch à la personne vous aidant !
echo.
echo Pour cela, faites un clique droit sur cette fenêtre noire, et selectionnez la partie que vous voulez.
pause
echo Suppression des services Bagle & echo. > "%userprofile%\bureau\Bagle.log"
sc config "srosa" start= disabled >> "%userprofile%\bureau\Bagle.log"
sc config "LEGACY_SROSA" start= disabled >> "%userprofile%\bureau\Bagle.log"
sc stop srosa >> "%userprofile%\bureau\Bagle.log"
sc delete srosa >> "%userprofile%\bureau\Bagle.log"
sc stop LEGACY_SROSA >> "%userprofile%\bureau\Bagle.log"
sc delete LEGACY_SROSA >> "%userprofile%\bureau\Bagle.log"
pause
echo Suppression des dossiers malveillants ... & echo.>> "%userprofile%\bureau\Bagle.log"
pause
rd /s /q "Documents and Settings\%username%\Application Data\m" >> "%userprofile%\bureau\Bagle.log"
rd /s /q "%windir%\system32\drivers\down" >> "%userprofile%\bureau\Bagle.log"
pause
echo Suppression des fichiers Bagle ! & echo. >> "%userprofile%\bureau\Bagle.log"
del /f /q /a "%windir%\SYSTEM32\BAN_LIST.TXT" >> "%userprofile%\bureau\Bagle.log"
del /f /q /a "%windir%\SYSTEM32\WINTEMS.EXE" >> "%userprofile%\bureau\Bagle.log"
del /f /q /a "%windir%\SYSTEM32\DRIVERS\SROSA.SYS" >> "%userprofile%\bureau\Bagle.log"
del /f /q /a "%windir%\SYSTEM32\DRIVERS\HLDRRR.EXE" >> "%userprofile%\bureau\Bagle.log"
del /f /q /a "%windir%\system32\MDELK.EXE" >> "%userprofile%\bureau\Bagle.log"
pause
echo Analyse terminee >> "%userprofile%\bureau\Bagle.log"
cd %userprofile%\bureau
Bagle.log
echo Poste ce rapport sur le forum !
pause

Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Enregistre le sous sur ton bureau sous le nom de Correction.bat
Double-clique dessus.

Poste le rapport qui apparaît.
28 Février 2008 20:07:08

Merci XmichouX pour ton aide!
Je peux travailler en mode sans échec oui.
voici le rapport que j'ai obtenu en suivant tes conseil:

Veuillez signaler tous les messages d'erreurs apparus dans ce batch Ó la personn
e vous aidant !

Pour cela, faites un clique droit sur cette fenÛtre noire, et selectionnez la pa
rtie que vous voulez.
Appuyez sur une touche pour continuer...
Suppression des services Bagle
'sc' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'sc' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'sc' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'sc' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'sc' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'sc' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
Appuyez sur une touche pour continuer...
Suppression des dossiers malveillants ...
Appuyez sur une touche pour continuer...
Le fichier spécifié est introuvable.
Le fichier spécifié est introuvable.
Appuyez sur une touche pour continuer...
Suppression des fichiers Bagle !
Impossible de trouver C:\WINNT\SYSTEM32\BAN_LIST.TXT
Impossible de trouver C:\WINNT\SYSTEM32\WINTEMS.EXE
Impossible de trouver C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS
Impossible de trouver C:\WINNT\SYSTEM32\DRIVERS\HLDRRR.EXE
Impossible de trouver C:\WINNT\system32\MDELK.EXE
Appuyez sur une touche pour continuer...

Merci davance pour ta réponse et ton aide car je ne savais plus quoi faire.
Contenus similaires
28 Février 2008 22:14:56

Rah, ça n'a pas marché du tout !

Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.
28 Février 2008 22:25:40

voici le rapport de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:17, on 28/02/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode with network support

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [runner1] C:\WINNT\mrofinu1148.exe 61A847B5BBF72813339F30466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [german.exe] C:\WINNT\system32\wintems.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINNT\system32\drivers\hldrrr.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Documents and Settings\Administrateur\Mes documents\KETTY\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_04\bin\npjpi141_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_04\bin\npjpi141_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts...
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe

--
End of file - 6325 bytes

Merci beaucoup encore. Quel est ton conseil désormais?
28 Février 2008 22:32:11

Je ne comprends vraiment pas ^^

Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe. (Clique droit->Exécuter en tant qu'administrateur si sous Vista)
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt
28 Février 2008 23:14:25

J'ai de nouveau appliquer tes conseils XmichouX et voici le rapport de combofix:


ComboFix 08-02-25.3 - Administrateur 28/02/2008 22:50:39.1 - NTFSx86 NETWORK
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.148 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\FunWebProducts
C:\Program Files\Fichiers communs\Delsim
C:\Program Files\Fichiers communs\Yazzle1560OinUninstaller.exe
C:\Program Files\FunWebProducts
C:\Program Files\inetget2
C:\Program Files\Insider
C:\Program Files\Insider\Insider.exe
C:\Program Files\Insider\UnInstall.exe
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\Settings\players\defaultPlayer.plr
C:\Program Files\MyWebSearch\bar\Settings\players\players.plrs
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\Program Files\MyWebSearch\bar\Settings\setting2.htm
C:\Program Files\MyWebSearch\bar\Settings\settings.dat
C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
C:\Program Files\Temporary
C:\Program Files\Uninstall Fun Web Products.dll
C:\Program Files\WinAble
C:\WINNT\b147.exe
C:\WINNT\b148.exe
C:\WINNT\exefld
C:\WINNT\exefld\29215129.exe
C:\WINNT\exefld\29262897.exe
C:\WINNT\pack.epk
C:\WINNT\system32\6_exception.nls
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_PERFORMANCE_MONITOR
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\LEGACY_SROSA
-------\runtime
-------\srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-28 ))))))))))))))))))))))))))))))))))))
.

2008-02-28 22:13 . 08-02-28 22:13 <DIR> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-28 14:32 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\U3
2008-02-25 16:36 --------- d-----w C:\Program Files\Fichiers communs\Sandlot Shared
2008-02-25 16:34 --------- d--h--w C:\Program Files\Fichiers communs\Carlson
2008-02-19 20:08 --------- d-----w C:\Program Files\MSN Messenger
2008-02-18 15:20 --------- d-----w C:\Program Files\eMule
2008-01-19 19:01 --------- d-----w C:\Program Files\Zylom Games
2008-01-11 14:45 --------- d-----w C:\Program Files\Boonty
2007-12-30 09:37 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-12-29 19:03 --------- d-----w C:\Program Files\MSN Apps
2007-10-30 11:32 10 ----a-w C:\Program Files\.autoreg
2007-04-19 19:27 22,144 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2005-10-07 14:40 271 ---h--w C:\Program Files\desktop.ini
2005-10-07 14:40 22,115 ---h--w C:\Program Files\folder.htt
2006-09-19 18:51 8 --sh--r C:\WINNT\system32\D565771B46.sys
2006-09-19 19:03 2,516 --sha-w C:\WINNT\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [01-05-08 01:00 20752 C:\WINNT\system32\internat.exe]
"Configuration de la neuf Box"="C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe" [05-12-13 14:19 389120]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [07-09-04 22:40 6856704]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [04-06-01 11:46 196608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 11:05 111888 C:\WINNT\system32\mobsync.exe]
"Matrox Powerdesk"="C:\WINNT\system32\PDesk\PDesk.exe" [04-01-26 13:25 667648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [05-10-06 18:03 278528]
"LVCOMSX"="C:\WINNT\system32\LVCOMSX.EXE" [04-05-21 19:11 221184]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [04-06-01 11:09 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [04-06-01 11:03 217088]
"EPSON Stylus DX4200 Series"="C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [ ]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [06-01-28 11:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [07-09-06 11:06 79224]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [05-12-28 13:12 26112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MyWebSearch bar Uninstall"="C:\PROGRA~1\UNINST~1.DLL" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [01-05-08 01:00 20752 C:\WINNT\system32\internat.exe]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 11:05 189712]

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINNT\system32\DRIVERS\SONYPVM1.SYS [00-05-27 04:37 ]
R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys [99-10-23 20:22 ]
S1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys [05-09-26 11:05 ]
S2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [07-09-06 11:05 ]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [06-07-25 15:14 ]
S3 cwcspud3;Pilote SPuD3 SoundFusion(tm) Crystal;C:\WINNT\system32\drivers\cwcspud3.sys [99-11-11 23:13 ]
S3 G200;G200;C:\WINNT\system32\DRIVERS\g200mini.sys [04-01-26 13:45 ]
S3 mga64;mga64;C:\WINNT\system32\DRIVERS\mga64m.sys [99-11-30 01:47 ]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINNT\system32\DRIVERS\ss_bus.sys [05-08-30 17:57 ]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINNT\system32\DRIVERS\ss_mdfl.sys [05-08-30 17:58 ]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINNT\system32\DRIVERS\ss_mdm.sys [05-08-30 17:59 ]
S4 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys [05-09-26 11:05 ]

*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-28 22:58:05
Windows 5.0.2195 Service Pack 4 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINNT\System32\WBEM\WinMgmt.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-28 23:02:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-28 22:02:49
.
2007-08-26 09:59:28 --- E O F ---


J'espère que ce nouveau rapport pourra t'aider à y voir plus clair dans mon problème, dans le cas contraire précise moi ce qui se passe stp afin que je puisse comprendre également.
Merci d'avance.
29 Février 2008 00:08:43

Re,

A la fin ;) 

****

Télécharge et exécute : http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...

*******

Copie le texte se situant dans le cadre ci-dessous :

Driver::
Boonty Games

File::
C:\PROGRA~1\UNINST~1.DLL
C:\WINNT\mrofinu1148.exe
C:\WINNT\Temp\startdrv.exe
C:\WINNT\system32\wintems.exe
C:\WINNT\system32\drivers\hldrrr.exe
C:\WINNT\SYSTEM32\BAN_LIST.TXT
C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINNT\system32\MDELK.EXE

Folder::
C:\Program Files\Boonty
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Fichiers communs\Symantec Shared

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MyWebSearch bar Uninstall"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"Adobe Photo Downloader"=-
"QuickTime Task"=-


Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
29 Février 2008 10:38:25

J'ai tenté de redémarrer mon ordinateur en mode normal avant cette dernière manipulation que tu m'as indiqué et il se trouve que cela a fonctionné. je le retrouve d'ailleurs plus performant et rapide qu'avant le virus. Je te remercie donc de ton aide précieuse et te souhaite bonne continuation. Je garde tes conseils sous la main ;) 

Salut et encore merci, fabinho10.
29 Février 2008 11:39:38

Re,

Ce ne sont pas des conseils, tu dois les faire et maintenant !
C'est moi qui te dit quand c'est terminé ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS