Votre question

ordi infecté par virus srosa.sys ?

Tags :
  • Restauration système
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Janvier 2008 15:09:09

Suite à l'ouverture d'1 exe douteux le démarrage du pc en mode normal n'est plus possible : écran bleu. Il semble qu'il soit infecté par srosa.sys . Le mode sans echec ne marche pas non plus. Je ne peux rallumer l'ordi qu'en mode "dernière configuration foctionnelle". La restauration système bloque aussi et impossible également de faire une réparation à partir du cd xp.
De plus je me rends compte que Avast à été viré de l'ordi !!

Est-ce qu'il y a moyen de se débarasser de ça ?
(Peut-être que la question a déjà été posée )

Merci d'avance pour votre aide !!!

Autres pages sur : ordi infecte virus srosa sys

9 Janvier 2008 16:27:35

Merci pour ta réponse

ELIBAGLA à trouvé ça:
53968.exe bagle
6667000.exe bagle
6646531.exe bagle
82921.exe bagle
Quand à combofix , il ouvre une fenêtre bleue avec un curseur qui clignote et plus rien !
Contenus similaires
9 Janvier 2008 16:32:38

Est ce que tu peux démarrer en mode sans échec ?

Attention, ne passe pas par msconfig, mais uniquement cette méthode.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
9 Janvier 2008 16:58:45

OK alors maintenant le mode sans echec fonctionne
et le mode normal aussi !!!!
J'ai rescanné avec ELIBAGLA et il ne trouve plus de fichiers infectés,
est-ce que ça veut dire que c'est réparé ???
9 Janvier 2008 17:37:13

Non j'ai parlé trop vite: après arrêt complet et redémarrage
l'écran bleu est de retour !
Mode sans echec inaccessible à nouveau, nouveau scan avec eligabla qui donne:
37031.exe bagle
78578.exe
Je n'arrive pas à faire marcher combofix (voir plus haut).
9 Janvier 2008 17:59:42

Bon j'ai réussi à lancer combofix
voilà le rapport:

ComboFix 08-01-09.2 - PHILIPPE 2008-01-09 17:40:23.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.404 [GMT 1:00]
Running from: C:\Documents and Settings\PHILIPPE\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-09 to 2008-01-09 ))))))))))))))))))))))))))))))))))))
.

2008-01-09 17:39 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 16:54 . 2004-10-27 03:07 696,628 --------- C:\WINDOWS\system32\drivers\hldrrr.exe
2008-01-09 16:04 . 2008-01-09 16:05 <REP> d-------- C:\Muestras
2008-01-08 14:29 . 2008-01-09 17:31 <REP> d-------- C:\WINDOWS\system32\drivers\down
2008-01-07 18:32 . 2008-01-07 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2007-12-21 13:32 . 2007-12-21 13:32 <REP> d-------- C:\Program Files\Skyline
2007-12-21 13:32 . 2007-12-21 13:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skyline
2007-12-09 22:10 . 2007-12-11 11:03 926 --a------ C:\WINDOWS\posteriza.INI
2007-12-09 21:53 . 2007-12-09 21:53 <REP> d-------- C:\Program Files\posteriza_1.1.1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 16:34 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\Skype
2008-01-08 13:26 --------- d-----w C:\Program Files\eMule
2008-01-07 12:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-12-09 20:45 --------- d-----w C:\Program Files\sailplan
2007-12-09 12:31 73,216 ----a-w C:\WINDOWS\cadkasdeinst01f.exe
2007-12-09 11:18 --------- d-----w C:\Program Files\Yahoo!
2007-12-06 15:31 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\Roxio
2007-12-05 17:43 --------- d-----w C:\Program Files\pronotes
2007-12-05 16:53 --------- d-----w C:\Program Files\VirtualDub
2007-12-05 12:50 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\Yahoo!
2007-12-05 12:49 --------- d-----w C:\Program Files\DivX
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-04 01:33 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-11-29 22:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-11-29 22:30 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-11-29 22:30 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-11-29 22:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-11-29 18:39 --------- d-----w C:\Program Files\FISHWARE
2007-11-28 21:55 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-11-28 21:53 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-11-28 21:53 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-11-28 21:53 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-11-28 21:53 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-11-28 21:53 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-11-28 21:53 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-11-28 21:52 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-11-28 15:10 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-28 15:09 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\InstallShield
2007-11-27 19:36 --------- d-----w C:\Program Files\navionics
1999-12-13 12:38 135,168 ----a-w C:\WINDOWS\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [2004-10-27 03:07 696628]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" [2007-07-02 11:22 219008]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-03 17:52 68856]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-05-11 12:20 23395880]
"german.exe"="C:\WINDOWS\System32\wintems.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-10-16 11:24 47104 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-07-30 16:50 372736 C:\WINDOWS\system32\nwiz.exe]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-02-27 04:31 69632]
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2003-02-27 03:36 757760]
"RoxioAudioCentral"="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" [2003-02-26 15:50 253952]
"KMCONFIG"="C:\Program Files\Mouse Driver\StartAutorun.exe" [2007-03-06 13:51 212992]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-07 23:43 185632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 13:00 13312]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-09 17:47:30
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-09 17:52:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-09 16:52:33
10 Janvier 2008 00:29:18

Bien


Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\System32\wintems.exe
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"german.exe"=-


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt



Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
11 Janvier 2008 15:58:27

Voilà le rapport:


ComboFix 08-01-09.2 - PHILIPPE 2008-01-11 15:51:47.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.261 [GMT 1:00]
Running from: C:\Documents and Settings\PHILIPPE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\PHILIPPE\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\System32\wintems.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\System32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-11 to 2008-01-11 ))))))))))))))))))))))))))))))))))))
.

2008-01-11 15:52 . 2008-01-11 15:52 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-01-09 17:39 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 16:04 . 2008-01-09 16:05 <REP> d-------- C:\Muestras
2008-01-08 14:29 . 2008-01-11 15:22 <REP> d-------- C:\WINDOWS\system32\drivers\down
2008-01-07 18:32 . 2008-01-07 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2007-12-21 13:32 . 2007-12-21 13:32 <REP> d-------- C:\Program Files\Skyline
2007-12-21 13:32 . 2007-12-21 13:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skyline

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 14:35 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\Skype
2008-01-11 14:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-10 11:23 --------- d-----w C:\Program Files\sailplan
2008-01-08 13:26 --------- d-----w C:\Program Files\eMule
2007-12-09 20:53 --------- d-----w C:\Program Files\posteriza_1.1.1
2007-12-09 12:31 73,216 ----a-w C:\WINDOWS\cadkasdeinst01f.exe
2007-12-09 11:18 --------- d-----w C:\Program Files\Yahoo!
2007-12-06 15:31 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\Roxio
2007-12-05 17:43 --------- d-----w C:\Program Files\pronotes
2007-12-05 16:53 --------- d-----w C:\Program Files\VirtualDub
2007-12-05 12:50 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\Yahoo!
2007-12-05 12:49 --------- d-----w C:\Program Files\DivX
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-04 01:33 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-11-29 22:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-11-29 22:30 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-11-29 22:30 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-11-29 22:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-11-29 18:39 --------- d-----w C:\Program Files\FISHWARE
2007-11-28 21:55 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-11-28 21:53 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-11-28 21:53 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-11-28 21:53 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-11-28 21:53 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-11-28 21:53 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-11-28 21:53 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-11-28 21:52 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-11-28 15:10 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-28 15:09 --------- d-----w C:\Documents and Settings\PHILIPPE\Application Data\InstallShield
2007-11-27 19:36 --------- d-----w C:\Program Files\navionics
1999-12-13 12:38 135,168 ----a-w C:\WINDOWS\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-09_17.52.23.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-09 16:40:13 3,579,904 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\ntuser.dat
+ 2008-01-11 14:50:46 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-09 16:40:13 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-11 14:50:46 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-11 14:50:46 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-11 14:50:46 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-11 14:50:46 3,596,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat
+ 2008-01-11 14:50:47 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-09 15:45:26 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-10 10:26:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-09 15:45:26 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-01-10 10:26:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-01-09 16:40:20 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-11 14:50:51 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-11 14:19:33 6,958 ----a-w C:\WINDOWS\system32\drivers\down\119390.exe
+ 2008-01-11 14:19:41 34,214 ----a-w C:\WINDOWS\system32\drivers\down\125187.exe
+ 2008-01-11 14:19:50 11,879 ----a-w C:\WINDOWS\system32\drivers\down\135953.exe
+ 2008-01-11 14:19:51 10,077 ----a-w C:\WINDOWS\system32\drivers\down\137140.exe
+ 2008-01-11 14:20:33 9,761 ----a-w C:\WINDOWS\system32\drivers\down\179625.exe
+ 2008-01-11 14:18:27 93,188 ----a-w C:\WINDOWS\system32\drivers\down\40218.exe
+ 2008-01-11 14:18:35 13,824 ----a-w C:\WINDOWS\system32\drivers\down\61546.exe
+ 2008-01-11 14:18:41 93,188 ----a-w C:\WINDOWS\system32\drivers\down\63312.exe
+ 2008-01-11 14:18:52 11,869 ----a-w C:\WINDOWS\system32\drivers\down\74625.exe
- 2008-01-09 16:34:11 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-09 16:58:44 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-09 16:34:11 48,856 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-01-09 16:58:44 48,856 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-01-09 16:34:11 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-09 16:58:44 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-01-09 16:34:11 368,076 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-01-09 16:58:44 368,076 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [2004-10-27 03:07 696628]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" [2007-07-02 11:22 219008]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-03 17:52 68856]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-05-11 12:20 23395880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-10-16 11:24 47104 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-07-30 16:50 372736 C:\WINDOWS\system32\nwiz.exe]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-02-27 04:31 69632]
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2003-02-27 03:36 757760]
"RoxioAudioCentral"="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" [2003-02-26 15:50 253952]
"KMCONFIG"="C:\Program Files\Mouse Driver\StartAutorun.exe" [2007-03-06 13:51 212992]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-07 23:43 185632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 13:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-11 15:55:09
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-11 15:56:25 - machine was rebooted [PHILIPPE]
ComboFix-quarantined-files.txt 2008-01-11 14:56:09
ComboFix2.txt 2008-01-09 16:52:35

11 Janvier 2008 19:17:22

Bien, refais une manip avec Eliblaga.
11 Janvier 2008 20:13:16

Bien , voilà le résultat:



Wed Jan 09 16:04:55 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 09 16:05:50 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\53968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\6646531.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\6667000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\82921.EXE --> Eliminado Bagle

Nº Total de Directorios: 2226
Nº Total de Ficheros: 124399
Nº de Ficheros Analizados: 5567
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 4

Wed Jan 09 16:45:43 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Wed Jan 09 16:46:16 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2232
Nº Total de Ficheros: 124598
Nº de Ficheros Analizados: 5573
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Jan 09 17:24:32 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 09 17:24:52 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\37031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\78578.EXE --> Eliminado Bagle

Nº Total de Directorios: 2224
Nº Total de Ficheros: 124808
Nº de Ficheros Analizados: 5574
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Wed Jan 09 17:47:23 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Fri Jan 11 19:58:12 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Jan 11 19:58:16 2008
EliBagle v10.82 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2211
Nº Total de Ficheros: 26780
Nº de Ficheros Analizados: 5539
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
12 Janvier 2008 16:59:43

Voilà le rapport kaspersky

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, January 12, 2008 4:58:26 PM
Système d'exploitation : Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 12/01/2008
Enregistrements dans la base antivirus Kaspersky : 475248
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\

Statistiques de l'analyse:
Total d'objets analysés: 32897
Nombre de virus trouvés: 8
Nombre d'objets infectés: 41 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:39:30

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\call256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\callmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\contactgroup256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\dyncontent\bundle.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\index2.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\profile256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\user1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\user256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Application Data\Skype\bartoph\voicemail256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Local Settings\Historique\History.IE5\MSHist012008011220080113\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\PHILIPPE\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.82 Infecté : Trojan-Downloader.Win32.Bagle.hr ignoré
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.82 Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\logs\sw_ae-20080112-132402.log L'objet est verrouillé ignoré
C:\Program Files\Microsoft Money\System\REMINDER.EXE Infecté : Trojan-Downloader.Win32.Bagle.hr ignoré
C:\QooBox\Quarantine\catchme2008-01-11_155456.87.zip/srosa.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\QooBox\Quarantine\catchme2008-01-11_155456.87.zip/wintems.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\QooBox\Quarantine\catchme2008-01-11_155456.87.zip/hldrrr.exe Infecté : Trojan-Downloader.Win32.Bagle.hr ignoré
C:\QooBox\Quarantine\catchme2008-01-11_155456.87.zip ZIP: infecté - 3 ignoré
C:\QooBox\Quarantine\Registry_backups\LEGACY_SROSA.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
C:\QooBox\Quarantine\Registry_backups\services_srosa.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP101\A0028834.exe Infecté : Trojan.Win32.Pakes.boe ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP121\A0032146.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP121\A0032148.exe Infecté : Trojan-Downloader.Win32.Bagle.hr ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP122\A0032158.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032181.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032186.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032197.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032202.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032214.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032225.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032232.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032237.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032248.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032333.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032334.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032335.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032336.exe Infecté : Trojan-Downloader.Win32.Bagle.gi ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032346.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032347.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032348.exe Infecté : Trojan-Downloader.Win32.Bagle.hr ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032357.exe Infecté : Trojan.Win32.Pakes.bwy ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032394.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032397.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032398.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032432.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032433.exe Infecté : Trojan-Downloader.Win32.Bagle.ho ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032444.exe Infecté : Trojan-Downloader.Win32.Bagle.hr ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032499.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032505.sys Infecté : Trojan-Downloader.Win32.Bagle.hs ignoré
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP125\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\down\40218.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\WINDOWS\system32\drivers\down\63312.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\WINDOWS\system32\drivers\down\6655187.exe Infecté : Trojan.Win32.Pakes.bwy ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

Analyse terminée.
13 Janvier 2008 00:51:44

Re


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\Muestras
C:\Program Files\Microsoft Money\System\REMINDER.EXE
C:\QooBox
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP101\A0028834.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP121\A0032146.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP121\A0032148.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP122\A0032158.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032181.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032186.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032197.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032202.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032214.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032225.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032232.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032237.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032248.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032333.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032334.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032335.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032336.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032346.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032347.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032348.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032357.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032394.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032397.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032398.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032432.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032433.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032444.exe
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032499.sys
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032505.sys
C:\WINDOWS\system32\drivers\down\40218.exe
C:\WINDOWS\system32\drivers\down\63312.exe
C:\WINDOWS\system32\drivers\down\6655187.exe


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
13 Janvier 2008 15:06:55

Voilà le rapport OTMOVEIT :


C:\Muestras moved successfully.
C:\Program Files\Microsoft Money\System\REMINDER.EXE moved successfully.
C:\QooBox\Quarantine\Registry_backups moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32 moved successfully.
C:\QooBox\Quarantine\C\WINDOWS moved successfully.
C:\QooBox\Quarantine\C\ComboFix moved successfully.
C:\QooBox\Quarantine\C moved successfully.
C:\QooBox\Quarantine moved successfully.
C:\QooBox\BackEnv moved successfully.
C:\QooBox moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP101\A0028834.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP121\A0032146.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP121\A0032148.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP122\A0032158.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032181.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032186.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032197.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP123\A0032202.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032214.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032225.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032232.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032237.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032248.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032333.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032334.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032335.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032336.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032346.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032347.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032348.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032357.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032394.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032397.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032398.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032432.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032433.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032444.exe moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032499.sys moved successfully.
C:\System Volume Information\_restore{D7FBAD2E-2E27-46D0-B92D-41DCED27C322}\RP124\A0032505.sys moved successfully.
C:\WINDOWS\system32\drivers\down\40218.exe moved successfully.
C:\WINDOWS\system32\drivers\down\63312.exe moved successfully.
C:\WINDOWS\system32\drivers\down\6655187.exe moved successfully.

Created on 01/13/2008 15:03:41
13 Janvier 2008 22:52:00

Bien.

As tu encore des dysfonctionnements ?
14 Janvier 2008 13:39:46

Eh oui !! Toujours blocage et écran bleu au démarrage et des fichiers exe inopérants ...
14 Janvier 2008 20:12:56

Bon si je comprends bien il n'y a plus qu'à reformater ... ?
14 Janvier 2008 20:19:19

J'ai fait toutes les opérations indiquées par "chercheur", ensuite on dirait que ça marche mieux mais après quelques redémarrages le bloquage revient... . Pas de solution ?
14 Janvier 2008 22:42:52

Cela ressemble surtout à un problème Hardware.
Expose ton problème là bas ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS