Votre question

[resolu] Virus bagle

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Février 2008 19:08:40

Bonsoir,
comme le montre le titre de ce sujet je suis infectée par le virus bagle j' ai découvert ceci grâce a avast qui refusait de s' ouvrir et afficher ce message C:\program Files\alwil software\avast4\ashavast.exe n' est pas une application win32 valide
J' ai donc recherché sur internet ce que je pouvais faire pour détruire le virus et je suis tombée sur ce forum:
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/virus/resolu-virus--nest-pas-une-application-win32-valide-431327/messages-1.html
J' ai alors commencée a suivre les étapes comme il s ' agit exactement du même problème mais j' ai vu que par la suite que tout pouvais changé du système à l' autre.
J' aimerais que quelqu' un m' aide si possible pour détruire ce virus qui me détraque tout mon pc depuis une semaine
Merci!

Autres pages sur : resolu virus bagle

25 Février 2008 21:12:46

Bonjour, :hello: 

Télécharge ELIBAGLA en bas de cette page:
==> http://www.zonavirus.com/datos/descargas/95/elibagla.as...
Lance Elibagla en double cliquant dessus.
assure toi que le bouton "Eliminar Ficheros Automaticamente" soit coché.
Vérifie que C:\ soit sélectionné dans Unidad (ou la partition contenant ton OS).
Clique sur le bouton Explorar.
à la fin poste le rapport C:\infoSat.txt


:p 
25 Février 2008 21:30:12

voila le rapport


Sat Feb 23 18:29:32 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sat Feb 23 18:30:51 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sat Feb 23 18:31:28 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 3554
Nº Total de Ficheros: 42548
Nº de Ficheros Analizados: 12037
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Sun Feb 24 09:27:45 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Feb 24 16:27:57 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Feb 24 16:27:59 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14590687.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14641281.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14876406.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\43985796.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\44775781.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\46484.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\49812.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\51625.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\53343.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\55921.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\56437.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\57796.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\58250.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\60687.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\63156.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\69078.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\69234.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\70250.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\70812.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\73562.EXE.VIR --> Eliminado Bagle

Nº Total de Directorios: 3492
Nº Total de Ficheros: 41444
Nº de Ficheros Analizados: 11985
Nº de Ficheros Infectados: 20
Nº de Ficheros Limpiados: 20

Mon Feb 25 20:36:29 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Feb 25 20:36:33 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3181
Nº Total de Ficheros: 40717
Nº de Ficheros Analizados: 11254
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Merci!
Contenus similaires
25 Février 2008 22:37:56

:hello: 

Si tu es sous Vista, désactive l'uac : http://bibou0007.com/tutos-f45/tutorial-desactiver-l-ua...

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : http://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos-f45/tutorial-combofi...

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
26 Février 2008 10:02:30

http://img.infos-du-net.com/forum/icones/smilies/hello....
:hello: 

non je suis sous windows xp familial, voici le rapport combofix:

ComboFix 08-02-25.3 - orlando da silva 2008-02-25 21:15:06.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.32 [GMT 1:00]
Endroit: C:\Documents and Settings\orlando da silva\Bureau\killbagle.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-25 to 2008-02-25 ))))))))))))))))))))))))))))))))))))
.

2008-02-25 11:18 . 2008-02-25 11:18 <REP> d-------- C:\Program Files\Zylom Games
2008-02-24 19:11 . 2008-02-24 19:11 <REP> d-------- C:\Program Files\MSN Messenger
2008-02-24 18:57 . 2008-02-24 18:57 <REP> d-------- C:\Program Files\Trend Micro
2008-02-24 18:57 . 2008-02-24 18:57 396,288 --a------ C:\Program Files\HijackThis.exe
2008-02-24 17:55 . 2008-02-24 17:55 <REP> d-------- C:\Program Files\Avira
2008-02-24 17:55 . 2008-02-24 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-24 16:14 . 2008-02-24 17:49 <REP> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-23 16:48 . 2003-10-03 16:28 45,056 --a------ C:\WINDOWS\system32\vusetup.dll
2008-02-23 16:48 . 2005-06-06 17:51 11,264 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys
2008-02-23 16:48 . 2005-01-05 18:02 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys
2008-02-21 19:49 . 2008-02-21 19:49 268 --ah----- C:\sqmdata05.sqm
2008-02-21 19:49 . 2008-02-21 19:49 244 --ah----- C:\sqmnoopt05.sqm
2008-02-21 17:13 . 2008-02-21 23:01 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-02-21 14:26 . 2008-02-21 14:26 244 --ah----- C:\sqmnoopt04.sqm
2008-02-21 14:26 . 2008-02-21 14:26 232 --ah----- C:\sqmdata04.sqm
2008-02-21 12:06 . 2008-02-21 12:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MythPeople
2008-02-21 03:11 . 2008-02-21 03:11 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-02-21 03:05 . 2008-02-21 03:05 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 03:05 . 2008-02-21 03:05 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-02-21 03:05 . 2008-02-21 03:05 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-02-21 03:05 . 2008-02-21 03:05 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-02-21 03:03 . 2008-02-21 03:03 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-02-21 03:03 . 2008-02-21 03:03 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-02-21 03:03 . 2008-02-21 03:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 03:03 . 2008-02-21 03:03 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-21 03:03 . 2008-02-21 03:03 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-02-20 22:58 . 2008-02-21 17:54 <REP> d-------- C:\Documents and Settings\orlando da silva\Application Data\DivX
2008-02-20 22:56 . 2008-02-24 19:05 <REP> d-------- C:\Program Files\DivX
2008-02-20 13:49 . 2008-02-20 13:49 <REP> d-------- C:\Documents and Settings\orlando da silva\Application Data\PlayFirst
2008-02-20 13:49 . 2008-02-20 13:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
2008-02-20 12:31 . 2008-02-20 12:31 <REP> d-------- C:\Documents and Settings\orlando da silva\Application Data\Big Fish Games
2008-02-20 11:57 . 2008-02-20 22:00 125 --a------ C:\ioSpecial.ini
2008-02-19 20:45 . 2008-02-20 21:59 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-19 00:16 . 2008-02-21 12:05 <REP> d-------- C:\Documents and Settings\orlando da silva\Application Data\Zylom
2008-02-18 20:31 . 2008-02-18 20:31 <REP> d-------- C:\WINDOWS\Sun
2008-02-18 13:37 . 2008-02-18 13:37 268 --ah----- C:\sqmdata03.sqm
2008-02-18 13:37 . 2008-02-18 13:37 244 --ah----- C:\sqmnoopt03.sqm
2008-02-18 01:39 . 2008-02-19 00:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-02-18 01:30 . 2008-02-18 01:30 <REP> d-------- C:\Program Files\Java
2008-02-18 01:30 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-18 01:29 . 2008-02-18 01:29 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-02-16 18:59 . 2008-02-16 19:06 86 ---h----- C:\WINDOWS\dsez0137.dat
2008-02-16 18:32 . 2008-02-24 16:18 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-02-16 16:21 . 2008-02-16 16:21 244 --ah----- C:\sqmnoopt00.sqm
2008-02-16 16:21 . 2008-02-16 16:21 232 --ah----- C:\sqmdata00.sqm
2008-02-16 13:54 . 2008-02-16 13:54 379 --a------ C:\WINDOWS\ODBC.INI
2008-02-16 13:34 . 2008-02-16 13:34 <REP> d--h----- C:\WINDOWS\PIF
2008-02-16 11:31 . 2007-12-07 03:08 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-16 11:31 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-16 11:31 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-16 11:31 . 2007-12-07 03:08 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-16 11:31 . 2007-12-07 03:08 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-16 11:31 . 2007-12-07 03:08 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-16 11:31 . 2007-12-07 03:08 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-16 11:31 . 2007-12-07 03:08 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-16 11:31 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-16 11:30 . 2008-02-16 11:31 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-02-16 11:27 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-02-16 11:18 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-02-16 11:18 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-02-16 11:18 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-02-16 11:08 . 2004-08-04 06:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-02-16 11:08 . 2004-08-04 06:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-02-15 18:07 . 2008-02-15 18:08 <REP> d-------- C:\Program Files\PacificPoker4
2008-02-15 17:58 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-15 17:27 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-15 17:27 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-15 15:00 . 2008-02-25 10:36 <REP> d-------- C:\Program Files\UltimateZip
2008-02-15 13:15 . 2008-02-21 17:06 525 --a------ C:\hpfr3420.xml
2008-02-15 11:55 . 2008-02-15 11:55 <REP> d-------- C:\Documents and Settings\LocalService\Menu Démarrer
2008-02-15 11:08 . 2008-02-15 11:08 <REP> d-------- C:\WINDOWS\provisioning
2008-02-15 11:08 . 2008-02-15 11:08 <REP> d-------- C:\WINDOWS\peernet
2008-02-15 11:06 . 2008-02-15 11:06 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-02-15 10:57 . 2008-02-15 10:57 <REP> d-------- C:\WINDOWS\EHome
2008-02-15 04:20 . 2004-08-20 00:09 4,274,816 --------- C:\WINDOWS\system32\nv4_disp.dll
2008-02-15 04:19 . 2004-08-20 00:09 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2008-02-15 00:28 . 2004-08-20 00:09 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2008-02-15 00:28 . 2004-08-20 00:09 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
2008-02-15 00:28 . 2004-08-20 00:10 266,752 --a------ C:\WINDOWS\system32\h323.tsp
2008-02-15 00:28 . 2004-03-30 02:49 40,960 -----c--- C:\WINDOWS\system32\dllcache\evtgprov.dll
2008-02-14 23:19 . 2005-10-20 23:25 1,097,728 --a------ C:\WINDOWS\system32\esent.dll
2008-02-14 23:17 . 2008-02-18 01:31 1,549 --a------ C:\WINDOWS\mozver.dat
2008-02-14 23:10 . 2008-02-14 23:10 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-14 23:10 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-14 23:09 . 2008-02-16 22:09 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-02-14 22:20 . 2008-02-25 20:50 <REP> d-------- C:\Program Files\eMule
2008-02-14 22:18 . 2008-02-23 16:33 <REP> d--hs---- C:\Documents and Settings\orlando da silva\UserData
2008-02-14 22:14 . 2008-02-14 22:14 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-14 22:00 . 2008-02-14 22:00 <REP> d-------- C:\Program Files\Alwil Software
2008-02-14 22:00 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-02-14 22:00 . 2003-03-18 20:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-02-14 22:00 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2008-02-14 21:52 . 2008-02-21 19:50 <REP> d-------- C:\Documents and Settings\orlando da silva\Contacts
2008-02-14 21:51 . 2008-02-24 12:05 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-02-14 21:51 . 2004-08-20 00:09 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-02-14 21:51 . 2004-08-20 00:09 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-02-14 21:51 . 2004-08-20 00:09 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-02-14 21:51 . 2004-08-20 00:09 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-24 15:17 --------- d-----w C:\Program Files\Windows Live
2008-02-24 11:04 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-02-24 11:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-15 14:12 --------- d-----w C:\Program Files\microsoft frontpage
2008-02-14 20:48 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-14 20:12 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-20 00:10 380928 C:\WINDOWS\system32\irprops.cpl]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 14:34 57344 C:\WINDOWS\SOUNDMAN.EXE]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-24 17:57 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

C:\Documents and Settings\orlando da silva\Menu D‚marrer\Programmes\D‚marrage\
UltimateZip Quick Start.lnk - C:\Program Files\UltimateZip\uzqkst.exe [2008-02-15 15:00:38 303616]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=


*Newly Created Service* - USNJSVC
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-14 20:31:58 C:\WINDOWS\Tasks\WebReg 20080214213158.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-25 21:16:37
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-25 21:17:56
ComboFix-quarantined-files.txt 2008-02-25 20:17:46
ComboFix2.txt 2008-02-25 20:14:09
ComboFix3.txt 2008-02-24 15:37:17
ComboFix4.txt 2008-02-23 17:53:01
.
2008-02-19 01:02:59 --- E O F ---


Merci!!
27 Février 2008 14:01:30

Reposte un HijackTHis.

Toujours des problèmes ?
27 Février 2008 14:16:16

vous me demandez de poster un rapport HijacktHis ?
27 Février 2008 14:18:41

C'est ça.
27 Février 2008 14:20:58

Alors voila le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:11, on 27/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\UltimateZip\uzqkst.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pmu.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip\uzqkst.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Co...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fichiers/hardwaredet...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4931 bytes
27 Février 2008 16:29:00

:hello:  ,

Désinstalle et réinstalle tous tes logiciels de protection. Dis-moi s'ils remarchent correctement :super:
27 Février 2008 17:51:04

A la suite de ce problème avec avast je l' avais désinstallé j' avais commencée a suivre les étapes du lien dans mon premier message et j' ai donc désinstallé avast pour antivir qui marche a merveille depuis sauf quand je lance le scan il va rien trouvé de louche mais une fois fini je relance un scan est la il m' en trouve 90 donc je sais pas trop si on peut dire qu' il remarche correctement
27 Février 2008 19:10:47

Oki,

Fais-moi un scan avec antivir en mode sans échec et viens me poster le résultat du scan. Pense à sauvegarder le rapport généré par antivir :super:
27 Février 2008 21:24:55

voila le rapport avec antivir :


AntiVir PersonalEdition Classic
Report file date: mercredi 27 février 2008 20:44

Scanning for 1126829 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: orlando da silva
Computer name: SY3PUNF08

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 19:37:35
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 19:37:35
ANTIVIR3.VDF : 7.0.2.203 88064 Bytes 27/02/2008 19:37:35
AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 27/02/2008 19:37:36
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 27/02/2008 19:37:36
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Hard Disks
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 27 février 2008 20:44

Starting search for hidden objects.
'38742' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'uzqkst.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '35' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!


End of the scan: mercredi 27 février 2008 21:08
Used time: 24:06 min

The scan has been done completely.

2999 Scanning directories
148295 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
148295 Files not concerned
6139 Archives were scanned
2 Warnings
4 Notes
38742 Objects were scanned with rootkit scan
0 Hidden objects were found

Merci !!
27 Février 2008 22:29:21

C’est OK, tu n’es plus infecté(e) :p 

1) Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner...

Ce programme va te faire désinstaller tous les outils que je t’ai faits utiliser.

  • Clique sur Recherche et laisse le scan agir ...
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
  • Tutorial ici : http://bibou0007.com/tutos-f45/tutorial-toolscleaner-2-...

    2) Télécharge et installe Ccleaner :
    http://www.01net.com/telecharger/windows/Utilitaire/net...(...)
  • Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
  • Ensuite clique sur l'onglet Registre, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées". Il est inutile de faire des sauvegardes des clés. Répète l'opération autant de fois qu'il le faut jusqu'à qu'il ne trouve plus d'erreurs.
  • Tutorial ici : http://bibou0007.com/tutos-f45/tutorial-ccleaner-t362.h...

    3)
  • Désactive ta restauration systeme

  • Réactive ta restauration systeme

  • Tutorial ici : http://bibou0007.com/tutos-f45/purger-la-restauration-d...

    ********************************************************************************

  • Edite ton premier message et mets [resolu] devant le titre de ton sujet.

  • Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints.
    Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
    - Voir les règles de Malware-Complaints
    - Enregistre sur le forum à partir du bouton register en haut :
    Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
    Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

    Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&si...(...)

    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

    a+ et bon surf :hello: 


    Quelques liens intéressants :

    http://mickael.barroux.free.fr/securite/
    http://www.malekal.com/
    http://bibou0007.forumpro.fr/portal.htm
    28 Février 2008 17:41:54

    Et bien merci beaucoup sans ce forum je serais encore en train de m' acharner sur ma machine si vous ne m' aviez pas aider encore merci
    a+
    28 Février 2008 17:49:52

    voici le rapport TCleaner:

    -->- Recherche:

    C:\Qoobox: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\orlando da silva\Bureau\HijackThis.lnk: trouvé !
    C:\Documents and Settings\orlando da silva\Bureau\HJTInstall.exe: trouvé !
    C:\Program Files\HijackThis.exe: trouvé !
    C:\Program Files\HijackThis: trouvé !
    C:\Program Files\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\orlando da silva\Bureau\HijackThis.lnk: supprimé !
    C:\Documents and Settings\orlando da silva\Bureau\HJTInstall.exe: supprimé !
    C:\Program Files\HijackThis.exe: supprimé !
    C:\Program Files\HijackThis\HijackThis.exe: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Qoobox: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Program Files\HijackThis: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !

    Fichiers temporaires nettoyés !
    Corbeille vidée!

    Encore merci!
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS