problème avec Elibagla Résolu/Fermé

Question

Bonjour,
J'ai des problèmes avec mon ordinateur et après avoir recherché sur internet je pense que je dois avoir attrapé BAGLE.
J'ai vu qu'il me fallait télécharger Elibagla, ce que j'ai fait. Malheureusement il travaille un petit moment et ensuite il se ferme et j'ai le message "Utilidad antivirus a cessé de fonctionner".
J'ai reessayé de le relancer, mais j'arrive toujours au même message. Quelqu'un peut-il me conseiller sur ce que je dois faire.
Merci d'avance.

Nic00 · Answer

Salut,

&#9654;Télécharge Elibagla (de SATINFO) en bas de cette page :
http://www.zonavirus.com/descargas/elistara.asp 

&#9654;Clique sur le bouton Descargar Elibagla pour télécharger le fichier, puis le mettre sur ton Bureau. 
&#9654;Double-clique dessus pour l'ouvrir (Sous Vista, il faut cliquer droit sur Elibagla et choisir Exécuter en tant qu'administrateur). 
&#9654;Prend soin de regarder que dans le menu déroulant Unidad, tu as bien C: (ou la partition contenant le système d'exploitation). 
&#9654;Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée. 
&#9654;Clique sur le bouton Explorar pour lancer l'analyse. A la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt

/!\   si tu as Vista, désactive l’UAC le temps de la désinfection :	Panneau de configuration>comptes utilisateurs>activer/désactiver le contrôle  des comptes utilisateurs>décoche la cas puis fais OK 
/!\   si tu as TeaTimer (le résident de Spybot), désactive-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre :
o	Démarre Spybot, clique sur Mode, coche Mode avancé 
o	A gauche, clique sur Outils, puis sur Résident 
o	Décoche la case devant Résident "TeaTimer" puis quitte Spybot :

&#9654; Une fois la désinfection terminée ( et pas avant ), réactive le " TeaTimer " .

verni29 · Answer

Tu peux aussi passer FindyKill qui s'occupe très bien du bagle.

Télécharge FindyKill de ( Chiquitine29 ) 
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

Important : Installe le sur le bureau 

Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils ) 

# Lance l' installation avec les paramètres par défaut 
# Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 
# Double clic sur le raccourci FindyKill sur ton bureau 
# Au menu principal,choisis l'option 1 (Recherche) 

Poste le rapport FindyKill.txt .

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

A+

Nic00 · Answer

Merci verni29 mais on va déjà réessayer avec Elibagla.
Peut-être qu' arsinoé n'avait pas désactivé l'UAC ou le TeaTimer de spybot, c'est pour ça que je retente avec Elibagla. Sinon on le fera avec FindyKill.

verni29 · Answer

Aucun problème, Nic00

Bonne continuité sur la discussion.

@+

Nic00 · Answer

Merci =)

Bonne continuation à toi.

A+

Nic00 · Answer

Ok, bon ba on va le faire avec Findykill alors:

&#9654;Télécharge FindyKill (par Chiquitine29) sur ton Bureau. 
&#9654;Lance l'installation avec les paramètres par défaut. 
&#9654;Double-clique sur le raccourci FindyKill situé sur ton Bureau (Sous Vista : faire un clic droit sur le raccourci de FindyKill et choisir Exécuter en tant qu'administrateur). 
&#9654;Choisis F pour Français puis appuie sur Entrée. 
&#9654;Au menu principal, choisis l'option 1 (Recherche). 
&#9654;Enregistre le rapport FindyKill.txt sur ton Bureau une fois le scan terminé. 
&#9654;Poste le rapport stp.

ps: supprime Elibagla auparavant

Nic00 · Answer

Tu en est sûr ? Réessaye en suivant bien les étapes et redis moi.

Nic00 · Answer

&#9654;Branche tous tes disques amovibles à ton PC (clefs USB, disque dur externe, carte SD, etc...) sans les ouvrir. 
&#9654;Double-clique sur le raccourci FindyKill situé sur ton Bureau (Sous Vista, il faut faire un clic droit sur le raccourci de FindyKill et choisis Exécuter en tant qu'administrateur). 
&#9654;Choisis F pour Français puis appuie sur Entrée. 
&#9654;Au menu principal, choisis cette fois l'option 2 (Suppression).

Nic00 · Answer

1.Désinstalle Avast via cet utilitaire:

https://www.avast.com/fr-fr/uninstall-utility

2.Réinstalle Antivir à la place:

https://www.commentcamarche.net/telecharger/ 55 antivir personal


Mets le à jour et fais une analyse avec.

Poste le rapport qui sera généré à la fin.

verni29 · Answer

Nic00, en passant. :-)

Arsinoe, 

Peux-tu poster le rapport de FindyKill ?
Tu le trouveras en C:\Findykill.txt.

Ce deuxième rapport est essentiel à Nic00 pour connaitre les logiciels ( pas seulement Avast ), Mises à jour qui auraient été aller abimé par le bagle. 

Bonne continuation.

Nic00 · Answer

13 heures ! C'est une blague j'espère.
On verra ça après parce que 13h....(faut faire quelque chose là ^^)

Findykill a fait son boulot, j'attends le rapport d'antivir (pourvu qu'il mette pas 2 jours ^^)

Bon courage...

Nic00 · Answer

Antivir te trouves un virus, qui n'en n'est pas un en réalité :

C:\Program Files\eChanblard\EvID4226Patch.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/Tool.EvID4226.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5de463.qua' ! 

Apparemment ça appartient à E mule donc tu dois avoir E mule  d'installé sur ton PC.

Pour avoir un rapport propre, va dans C:\Program Files\eChanblard\EvID4226Patch.exe  et supprime le patch.

Relance ensuite Antivir et supprime la quarantaine.

Avant de passer à autre chose, on va essayer de régler la lenteur de ton PC ^^

Déjà, ramait-il comme ça avant ?
Depuis combien de temps as tu ce PC ? 
L'as tu acheté en magasin/internet ou en pièces détachées ?
Combien reste t-il d'espace de libre sur ton/tes disque dur (il faut peut-être les défragmenter) ?
Ton PC est-il bien aéré ? Est-il bien dépoussiéré ?......

Dis moi tout ce que tu peux.

arsinoé · Answer

Je viens de supprimer eChanblard.
Pour répondre à tes questions, il y a longtemps que je trouve que ça rame.
J'ai le PC depuis 2 ans, je l'ai acheté dans un magasin.
Actuellement il ne me reste plus que 5,38 GO de libre (il y a encore qq jours j'avais 20, que s'est-il passé ?), il me semble que j'ai défragmenté il n'y a pas très longtemps.
J'ai déjà essayé de le dépoussierré, mais je n'ai pas vu de différence, quand à l'aération j'ai le disque dur externe à ~ 5 cm de l'aération, du coup je viens de le changer de place.
A +

Nic00 · Answer

Vérifie que ton alimentation soit bien dépoussiérée et qu'elle tourne correctement.

"Actuellement il ne me reste plus que 5,38 GO de libre (il y a encore qq jours j'avais 20, que s'est-il passé ?"

=> Windows fais régulièrement des sauvegardes de ton PC (pour les restaurer si pb il y a) par conséquent ça prend de la place.


Tu peux utiliser Tune Up Utilities 2009 pour optimiser ton PC (fais toutes les options possibles avec, il y a l'option défragmentation de DD):

http://www.clubic.com/lancer-le-telechargement-38589-0-tuneup-utilities-2009.html



Nettoies aussi ton PC avec ça:

>> Télécharge CCleaner: 
http://download.piriform.com 

>Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour. 

> Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 

>Pour les autres paramètres, laisse-le avec ses réglages par défaut. 

> Puis dans le menu Nettoyeur 
> Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois) 
> Clique sur le bouton Lancer le nettoyage. 
> Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner. 
> Fait de même pour le menu "Chercher des erreurs"

Nic00 · Answer

Tu es sûr que c'est au message n°16 que tu as un problème (car je ne vois pas le rapport ^^)

Peut-tu me redire ton souci stp.

On peut regarder ça d'un peu plus près:

&#9654; Télécharge random's system information tool (RSIT) 
&#9654;Enregistre le sur ton Bureau
&#9654; Double clique sur RSIT.exe pour l’exécuter. 
&#9654; Clique sur "continue" à l'écran Disclaimer. 
&#9654; Une fois le scan terminé , 2 rapports vont apparaitre. 
&#9654;Poste les dans ton prochain message 
&#9654; Note : les rapports se trouvent aussi ici : ( log.txt & info.txt )

Nic00 · Answer

Re,

relance Hijackthis en faisant Do a system scan only
 	
Tu peux supprimer ça:

NMIndexingService.exe à partir de C:\Program Files\Common Files\Ahead\Lib\

Sa c'est quoi :

http://www3.snapfish.fr/SnapfishActivia.cab
et
https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab



>> Télécharge et installe Malawarebytes’Anti-Malware : : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

>> mets le à jour puis lance le en double cliquant dessus. 

>> Choisis « Exécuter un examen complet » en cliquant dessus. 

>> Clique sur Rechercher 

>> Patiente jusqu’à la fin du scan…..une fenêtre s’ouvrira, clique alors sur OK 

>> Si MalwareByte's n'a rien détecté, clique sur Ok. Un rapport va apparaître ferme-le. 

>> Si MalwareByte's a détecté des infections, clique sur Afficher les résultats puis sur Supprimer la sélection 

>> Enregistre le rapport sur ton Bureau pour le trouver plus facilement.
>>  Poste ensuite ce rapport. 

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Nic00 · Answer

Okey, laisse tomber pour NMIndexingService.exe (légitime).
Laisses MBAM faire son boulot.

Et ensuite tu feras ceci:

&#9654;Mets à jour ta version d'Adobe:

https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

&#9654;rends toi sur ce site:

https://www.virustotal.com/gui/

&#9654;clique sur parcourir et sélectionne ce fichier : c:\windows\system32	dbhgmuaaf.exe

ensuite tu fais Envoyer le fichier 

&#9654;Ton fichier va être analyser, patiente.....
&#9654;A la fin un rapport apparaîtra : copie-colle le ton ta prochaine réponse stp.

arsinoé · Answer

Je viens d'aller sur VirusTotal, mais je n'ai pas le fichier  c:\windows\system32	dbhgmuaaf.exe

Nic00 · Answer

&#9654;Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau :

http://oldtimer.geekstogo.com/OTMoveIt3.exe 

&#9654;Double-clique sur OTMoveIt.exe pour le lancer.
&#9654;Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
&#9654;Copie / colle les lignes suivantes (en gras) dans la fenêtre de gauche de OTMoveIt nommé "Paste List of Files/Folders to be moved".
___________________________________________________________________________________________




:processes
explorer.exe
uninst.exe
WebMediaPlayer.exe


:services

C:\Users
anou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outerinfo 
C:\Program Files\WebMediaPlayer
C:\Program Files\WebMediaPlayeresources
C:\Program Files\WebMediaPlayer\skins
C:\Program Files\WebMediaPlayer\updates
C:\Program Files\WebMediaPlayer\sqlite3.dll
C:\Program Files\WebMediaPlayer\WebMediaPlayer.url
C:\Program Files\WebMediaPlayeresources\languages.xml
C:\Program Files\WebMediaPlayeresources\webmedias
C:\Program Files\WebMediaPlayer\skins\classic.skn
C:\Program Files\WebMediaPlayer\updates\webmediasDB.upd
C:\Users
anou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer


:Commands
[purity]
[emptytemp]
[start explorer]
[reboot]





___________________________________________________________________________________________

&#9654;Clique sur MoveIt! pour lancer la suppression.
&#9654;Si OTMoveIt propose de redémarrer ton PC, accepte.
&#9654;Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

&#9654;Dans ta prochaine réponse, envoie le rapport de OTMoveIt situé ici: C:\_OTMoveIt\MovedFiles

Nic00 · Answer

>>  Télécharge Navilog sur ton bureau: 

 http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  
/!\   si tu as Vista, désactive l’UAC le temps de la désinfection :	Panneau de configuration>comptes utilisateurs>activer/désactiver le contrôle  des comptes utilisateurs>décoche la cas puis fais OK 

>>  Désactives ton antivirus également.
>>  Lance l’application ( clic-droit : exécuter en tant qu'administrateur si tu es sous Vista )
>>  Arriver au menu principal, choisis l'option 1 et valide. 
>>  Patiente jusqu'au message : Analyse Termine le ... 
 >> Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)

Nic00 · Answer

Re,

donc tu n'as pas eu le rapport de généré ?

Nic00 · Answer

C'est embêtant...

Lance Malawarebytes’Anti-Malware, mais cette fois choisis Exécuter un examen Rapide

Nic00 · Answer

Ok c'est bon signe.
Maintenant va vérifier si ces dossiers sont encore présents:

C:\Program Files\WebMediaPlayer 
C:\Users
anou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer

si c'est le cas, tu les vires.

Vide également tout ce qu'il y a dans la quarantaine d'Antivir et de MBAM.

Enfin, poste moi un Hijackthis.

Nic00 · Answer

Tout est Ok sauf que j'ai un doute sur un fichier:

Ce que tu vas faire:

rends toi sur ce site:

https://www.virustotal.com/gui/

clique sur parcourir et sélectionne ce fichier : C:\Windows\system32\mfpmp.exe


ensuite tu fais Envoyer le fichier

Ton fichier va être analyser, patiente.....
A la fin un rapport apparaîtra : copie-colle le ton ta prochaine réponse stp.

Nic00 · Answer

Ok, tout est propre.

&#9654; Télécharges ToolsCleaner2 sur ton bureau ( pour supprimer les outils utilisés):
 http://pc-system.fr/ 

&#9654;lances le ( clic droit >Exécuter en tant qu'administrateur) 
&#9654;Cliques sur '' recherche" et laisses le scanner ton pc, puis clique sur suppression pour finaliser... un rapport sera généré 
&#9654;Postes le...
&#9654;Ensuite, mets ton antivirus à jour et fais un scan de ton pc, puis postes le rapport...

Nic00 · Answer

C'est normal, il faut le laisser chercher même s'il ne "Répond pas". 
Le rapport arrivera à la fin.

N'oublie pas d'Exécuter en tant qu'administrateur sous Vista.

arsinoé · Answer

Il a tourné de midi à 21 heures et aucun rapport.
Je vais donc le remettre à tourner pour la nuit, je verrai bien demain matin.

jacques.gache · Answer

bonjour, si tu parles de toolscleaner2 c'est bizare qu'il te fasse cela tu peux supprimer les outils utiliser avec OTCleanIT

Télécharge OTCleanIT d’Old Timer. 
http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe 
Enregistre le fichier sur ton bureau. 

Double clique " si tu es sous vista cliques droit et en tant que administrateursur "  OTCleanit.exe pour l’exécuter. 
Clique sur CleanUp !. 
Le logiciel va te demander de commencer l’analyse. Accepte. 

Il te sera demandé le redémarrage de ton PC pour finir la suppression des fichiers et supprimer également OTCleanIT. Accepte.

Nic00 · Answer

Bizarre, chez moi il ne réponds pas non plus mais il fonctionne.

Ne t'embête pas à le faire retourner la nuit.

Utilise OTCleanIT comme te l'a mis jacques.gache

Nic00 · Answer

Oui, rien de plus à faire tous les outils de désinfections ont bien été supprimés et OTCleanIT s'est auto détruit ^^

Nic00 · Answer

Oui. Ton PC a t-il encore des soucis ?

arsinoé · Answer

Oui, j'ai toujours mon problème à l'ouverture.
Lorsque j'ai appuyé sur le bouton d'ouverture, le logo Packard Bell apparait puis après l'arrière plan du bureau et après l'écran devient noir et plus rien. 
Par contre j'entend l'ordi tourner. Du coup j'appuie plusieurs fois sur Echap et 9/10 le curseur apparait et l'ordi s'ouvre.

jacques.gache · Answer

quand ton pc te met l'écran noir appuis sur la touche windows celle avec le drapeau et la touche R tans la fenêtre excécuter tu tappes explorer.exe et tu valides par ok

jacques.gache · Answer

je t'avais mis un truc mais je viens de réagir que tu es sous vista et pas compatible je cherche sur internet la manippe

jacques.gache · Answer

bon j'ai trouvé une manipe dans le registre http://www.infos-du-net.com/forum/263094-10-vista-explorer tu regarde dans l'un des méssage de diam@IDN , sinon tu peux en essayant de réinstaller le sp1 de vista ou même directement le sp2 , mais avant que tu fasses cela je voudrais te faire passer un dernier outil pour voir sin c'est pas une salopperie qui serait resté sur le pc tu me dit si tu est partant ou pas pour passer l'outil 

menu démarrer, commande exécuter :regedit
(attention l'outils "commande exécuter n'est pas activer par défaut sous vista, activez la dans les paramètres du menu démarrer en cliquant droit sur la barre- propriété/ onglet menu démarrer /personnaliser)

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

 
modifier la chaine Shell

 
si elle contient autre chose que explorer.exe effacer et remplacer par "explorer.exe" uniquement

jacques.gache · Answer

ok , pas de problème je te mets la procédure et tu  attends l'avis de nic00 ce qui est normal puisque c'est lui qui à pris le sujet en charge le premier , c'est même simpa de ta part .

bon tu vas passer un outil qui est relativement puissant donc pas d'improvisation personnel , tu prends le temps de lire le tutoriel officiel pour savoir à quoi t'en tenir, tu déactives toutes tes protections ,tu fermes toutes activité sur le pc,  tu ne touche pas au pc pendant qu'il bosse sauf pour répondre quand il te le demande , tu vas donc passer COMBOFIX !!!! 


pour arrêter antivir cliques sur le parapluie dans la barre des taches et sur activer antivir guard

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide. 

tutoriel officiel prend le temps de le lire : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix  


télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Nic00 · Answer

Salut,

désolé ça fait un bout de temps que je n'ai pu suivi ton sujet.

OUI tu peux suivre ce que te dis jacques.gache. Tu peux lui faire confiance, crois moi ^^

Nic00 · Answer

De rien mais ce n'est pas fini.

arsinoé · Answer

voilà le rapport combofix

ComboFix 09-06-01.03 - nanou 03/06/2009  7:19.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.1917.1261 [GMT 2:00]
Lancé depuis: c:\users
anou\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users
anou\AppData\Roaming\inst.exe
c:\windows\pack.epk
c:\windows\patch.exe
c:\windows\system32\drivers\Msft_Kernel_SynTP_01000.Wdf
c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-03 au 2009-06-03  ))))))))))))))))))))))))))))))))))))
.

2009-06-03 05:28 . 2009-06-03 05:28	--------	d-----w-	c:\users
anou\AppData\Local	emp
2009-05-27 05:00 . 2009-05-30 17:52	--------	d-----w-	c:\program files\Navilog1
2009-05-24 08:19 . 2009-05-24 08:19	--------	d-----w-	c:\users
anou\AppData\Roaming\Malwarebytes
2009-05-24 08:18 . 2009-04-06 13:32	15504	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-05-24 08:18 . 2009-04-06 13:32	38496	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-24 08:18 . 2009-05-24 08:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-05-24 08:18 . 2009-05-24 08:18	--------	d-----w-	c:\programdata\Malwarebytes
2009-05-23 09:57 . 2009-05-30 19:20	--------	d-----w-	c:\program files	rend micro
2009-05-23 06:02 . 2009-05-23 06:20	--------	d-----w-	c:\program files\VS Revo Group
2009-05-22 18:36 . 2009-05-22 18:36	--------	d-----w-	c:\program files\CCleaner
2009-05-22 13:34 . 2009-05-22 13:34	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-05-22 13:33 . 2009-04-27 12:21	17152	----a-w-	c:\windows\system32\authuitu.dll
2009-05-22 13:33 . 2009-04-27 12:21	28928	----a-w-	c:\windows\system32\uxtuneup.dll
2009-05-22 13:33 . 2009-05-22 13:33	361216	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2009-05-22 13:32 . 2009-05-22 13:32	--------	d-----w-	c:\users
anou\AppData\Roaming\TuneUp Software
2009-05-22 13:31 . 2009-05-22 13:32	--------	d-----w-	c:\program files\TuneUp Utilities 2009
2009-05-22 13:31 . 2009-05-22 13:31	--------	d-----w-	c:\programdata\TuneUp Software
2009-05-22 13:30 . 2009-05-22 13:30	--------	d-sh--w-	c:\programdata\{55A29068-F2CE-456C-9148-C869879E2357}
2009-05-22 13:21 . 2009-05-22 18:35	--------	d-----w-	c:\users
anou\Téléchargements
2009-05-22 10:39 . 2009-06-01 05:35	--------	d-----r-	c:\users
anou\Téléchargement
2009-05-20 05:19 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-05-20 05:19 . 2009-03-24 14:07	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-05-20 05:19 . 2009-05-20 05:19	--------	d-----w-	c:\programdata\Avira
2009-05-20 05:19 . 2009-05-20 05:19	--------	d-----w-	c:\program files\Avira
2009-05-18 19:39 . 2009-05-18 22:15	--------	d-----w-	C:\FindyKill
2009-05-18 09:00 . 2009-03-08 11:32	169472	----a-w-	c:\windows\system32\iexpress.exe
2009-05-18 08:16 . 2008-06-20 01:14	97800	----a-w-	c:\windows\system32\infocardapi.dll
2009-05-18 08:16 . 2008-06-20 01:14	105016	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-05-18 08:16 . 2008-06-20 01:14	43544	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-05-18 08:16 . 2008-06-20 01:14	11264	----a-w-	c:\windows\system32\icardres.dll
2009-05-18 08:16 . 2008-06-20 01:14	622080	----a-w-	c:\windows\system32\icardagt.exe
2009-05-18 08:15 . 2008-06-20 01:14	781344	----a-w-	c:\windows\system32\PresentationNative_v0300.dll
2009-05-18 08:15 . 2008-06-20 01:14	326160	----a-w-	c:\windows\system32\PresentationHost.exe
2009-05-18 08:01 . 2008-07-27 18:03	96760	----a-w-	c:\windows\system32\dfshim.dll
2009-05-18 08:01 . 2008-07-27 18:03	282112	----a-w-	c:\windows\system32\mscoree.dll
2009-05-18 08:01 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32
etfxperf.dll
2009-05-18 08:00 . 2008-07-27 18:03	158720	----a-w-	c:\windows\system32\mscorier.dll
2009-05-18 08:00 . 2008-07-27 18:03	83968	----a-w-	c:\windows\system32\mscories.dll
2009-05-18 06:38 . 2009-02-13 08:49	1255936	----a-w-	c:\windows\system32\lsasrv.dll
2009-05-18 06:38 . 2009-02-13 08:49	72704	----a-w-	c:\windows\system32\secur32.dll
2009-05-18 06:38 . 2009-03-17 03:38	13824	----a-w-	c:\windows\system32\apilogen.dll
2009-05-18 06:38 . 2009-03-17 03:38	24064	----a-w-	c:\windows\system32\amxread.dll
2009-05-18 06:37 . 2008-12-06 04:42	376832	----a-w-	c:\windows\system32\winhttp.dll
2009-05-18 06:37 . 2008-06-06 03:27	38912	----a-w-	c:\windows\system32\xolehlp.dll
2009-05-18 06:37 . 2008-06-06 03:27	562176	----a-w-	c:\windows\system32\msdtcprx.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-03 04:42 . 2007-07-12 05:24	--------	d-----w-	c:\programdata\Google Updater
2009-05-25 05:22 . 2008-02-07 14:28	--------	d-----w-	c:\program files\Common Files\Adobe
2009-05-21 05:17 . 2007-07-31 14:47	--------	d-----w-	c:\program files\eChanblard
2009-05-19 17:19 . 2007-06-29 09:14	--------	d-----w-	c:\program files\Alwil Software
2009-05-18 18:30 . 2007-06-29 08:00	--------	d-----w-	c:\program files\eMule
2009-05-18 10:21 . 2007-02-26 18:25	669566	----a-w-	c:\windows\system32\perfh00C.dat
2009-05-18 10:21 . 2007-02-26 18:25	123556	----a-w-	c:\windows\system32\perfc00C.dat
2009-05-18 10:02 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-04-30 19:01 . 2009-04-17 06:24	--------	d-----w-	c:\users
anou\AppData\Roaming\uTorrent
2009-04-29 10:24 . 2007-03-25 18:55	--------	d-----w-	c:\program files\Heredis 7
2009-04-22 11:18 . 2008-10-14 19:13	73216	----a-w-	c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}\uninstaller.exe
2009-03-08 11:34 . 2009-05-18 09:00	914944	----a-w-	c:\windows\system32\wininet.dll
2009-03-08 11:34 . 2009-05-18 09:01	43008	----a-w-	c:\windows\system32\licmgr10.dll
2009-03-08 11:33 . 2009-05-18 09:01	18944	----a-w-	c:\windows\system32\corpol.dll
2009-03-08 11:33 . 2009-05-18 09:00	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-03-08 11:33 . 2009-05-18 09:00	109568	----a-w-	c:\windows\system32\PDMSetup.exe
2009-03-08 11:33 . 2009-05-18 09:00	132608	----a-w-	c:\windows\system32\ieUnatt.exe
2009-03-08 11:33 . 2009-05-18 09:00	107520	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2009-03-08 11:33 . 2009-05-18 09:00	107008	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2009-03-08 11:33 . 2009-05-18 09:00	103936	----a-w-	c:\windows\system32\SetDepNx.exe
2009-03-08 11:33 . 2009-05-18 09:01	420352	----a-w-	c:\windows\system32\vbscript.dll
2009-03-08 11:32 . 2009-05-18 09:01	72704	----a-w-	c:\windows\system32\admparse.dll
2009-03-08 11:32 . 2009-05-18 09:01	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-03-08 11:32 . 2009-05-18 09:01	66560	----a-w-	c:\windows\system32\wextract.exe
2009-03-08 11:31 . 2009-05-18 09:01	34816	----a-w-	c:\windows\system32\imgutil.dll
2009-03-08 11:31 . 2009-05-18 09:01	48128	----a-w-	c:\windows\system32\mshtmler.dll
2009-03-08 11:31 . 2009-05-18 09:00	45568	----a-w-	c:\windows\system32\mshta.exe
2009-03-08 11:22 . 2009-05-18 09:01	156160	----a-w-	c:\windows\system32\msls31.dll
2009-03-07 06:05 . 2009-03-07 06:05	684872	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-03-06 19:35 . 2008-03-07 12:24	7268	----a-w-	c:\users
anou\AppData\Local\d3d9caps.dat
2007-02-26 18:27 . 2007-02-26 18:27	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2007-10-27 185632]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

c:\users
anou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Windows Live Mail.lnk - c:\program files\Windows Live\Mail\wlmail.exe [2009-2-6 115032]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^nanou^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Pense-bête.lnk]
path=c:\users
anou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pense-bête.lnk
backup=c:\windows\pss\Pense-bête.lnk.Startup
backupExtension=.Startup

[HKLM\~\startupfolder\C:^Users^nanou^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Windows Mail.lnk]
path=c:\users
anou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Mail.lnk
backup=c:\windows\pss\Windows Mail.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1640755587-2194518106-1653052831-1000]
"EnableNotificationsRef"=dword:00000003

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B676181E-61BD-4401-A33F-593F6C674E01}"= UDP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{541A8573-2BE2-4244-A30D-6ECBEFBA23A6}"= TCP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{211EC18B-E5CB-48CD-89CC-DCA366735D2E}"= UDP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{3306D7FC-8527-4EC8-8EC7-4C8F8A09C486}"= TCP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{B38541BA-A002-4F7A-87F1-6A87A67119D1}"= UDP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{FEF34C37-0906-40B7-98BF-8BB1200ADDFB}"= TCP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{8D0D6BEE-DAE9-421F-82B7-33185A0022B1}"= UDP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{939F64CB-97CE-46A8-B9BB-DD1A9A64B861}"= TCP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{BB8D302E-5B68-4EC7-A0C2-54F093F901E3}"= UDP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{1BD7CA7A-27B2-4AFB-8C55-138555CA6B37}"= TCP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{93873E23-520A-4E53-9DB5-DBE0AA79A99B}"= UDP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{4E2653E2-89C6-48D4-9095-08BB571781C6}"= TCP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{BAA4CBE8-BC12-406B-B5B9-FEC06C6385C2}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{878DB906-02CD-48D7-B853-D553806FC016}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{F8153CA8-7EED-49A0-AD96-B753992897C9}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{41283E08-FE60-440C-B3C9-C15923587340}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"TCP Query User{27E90EE7-8B7C-4C96-966F-8DFB586C21ED}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{CBF631FD-87AC-4298-8714-AE1238AF960A}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{7F702987-D30A-4FF7-B538-1AAF18148346}c:\program files\windows sidebar\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
"UDP Query User{16E9AEE9-38F0-45BE-ADB6-B2A971C1882B}c:\program files\windows sidebar\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Volet Windows
"{DBDBA7AA-E433-49B1-96C5-57715F567A38}"= UDP:c:\users
anou\Downloads\utorrent.exe:µTorrent (TCP-In)
"{90F62500-C077-49B0-BD7F-E80CEFF3692D}"= TCP:c:\users
anou\Downloads\utorrent.exe:µTorrent (UDP-In)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/05/2009 07:19 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [22/05/2009 15:34 604416]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;c:\windows\System32\drivers
etr61.sys [11/05/2007 17:28 357376]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32undll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-06-03 c:\windows\Tasks\Extension de garantie.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-02-26 16:38]

2009-06-03 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-06-28 08:58]

2009-06-03 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 13:42]

2009-06-03 c:\windows\Tasks\Recovery DVD Creator.job
- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-02-26 16:34]

2009-06-03 c:\windows\Tasks\User_Feed_Synchronization-{1C738AF6-CA12-4433-B9FD-EB0233235257}.job
- c:\windows\system32\msfeedssync.exe [2009-05-18 11:31]
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.ustart.org
uInternet Settings,ProxyServer = http=hxxp://localhost:6080;https=http://localhost:6080
uInternet Settings,ProxyOverride = <local>
DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} - hxxps://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-03 07:28
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
Heure de fin: 2009-06-03  7:31
ComboFix-quarantined-files.txt  2009-06-03 05:31

Avant-CF: 9 563 660 288 octets libres
Après-CF: 9 616 568 320 octets libres

225	--- E O F ---	2009-05-28 06:36

jacques.gache · Answer

bonjour , combofix nous en a trouveé d'autre et virer comme tu peux le voir dans autre suppression , comment va le pc et ton problème avec explorer.exe ??? 

(((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) 
. 

c:\users
anou\AppData\Roaming\inst.exe 
c:\windows\pack.epk 
c:\windows\patch.exe 
c:\windows\system32\drivers\Msft_Kernel_SynTP_01000.Wdf 
c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf

arsinoé · Answer

Bonsoir,
Combofix a viré automatiquement ce qui n'allait pas ? Damned, moi qui esperait que tu me dirais de faire une manip car j'ai éteint l'ordi et j'ai toujours eu les mêmes problèmes pour le redémarrer.
J'ai peur qu'à force un jour il ne veuille plus se rallumer.

jacques.gache · Answer

ok donc ton vista a souffert de l'infection tu regarde dans le message 59 http://www.commentcamarche.net/forum/affich 12511708 probleme avec elibagla?page=2#59 
perso je te conseil de commencer par réinstaller le sp1 de vista le probléme sur xp est souvant réglé en réinstallant le sp2 quand le xp est déjà en sp2 , et si pariel tu essais avec le sp 2 de vista mais la si rien je te conseil de prévoir des sauvegardes de sécurité car il faudra envisager une réparration de vista normalement il me semble qu'il est possible sans perte de donné mais il vaut mieux être prudent , commence par réinstaller le sp1 sans chercher à le désinstaller cela le réparrera  ..

arsinoé · Answer

J'ai essayé de réinstaller SP1 mais au bout d'un certain temps, j'ai eu le message suivant "Internet Explorer ne peut pas télécharger 6.0-KB36330-wave0.exe de download.microsoft.com".
Que dois-je faire ?
Dans le message 59 tu me dis de taper Regedit dans exécuter.
J'ai suivi toute la procédure, et c'est bien explorer.exe qui figure dans Shell.

Je sens que je vais encore t'enquiquiner un moment avec mon problème.

jacques.gache · Answer

la je vois pas trop ce qui ce passe essais d'installer IE et puis directement le sp1 de vista  depuis ces lien perso sur xp j'ai jamais pu mettre le sp3 sur deux des pc de la maison depuis le site de microsfot mais il s'est installer en le prenant sur ce site, et si pas moyen j'essairais de trouver sur internet et en contactant plus ferru que moi !!

http://www.commentcamarche.net/telecharger/telecharger 34058667 internet explorer 8

http://www.commentcamarche.net/telecharger/telecharger 34055383 windows vista sp1

arsinoé · Answer

J'ai déjà Internet Explorer 8.
J'ai essayé de télécharger SP1 par le lien que tu m'as donné, mais ça charge 49% et ensuite le même message qu'hier.

jacques.gache · Answer

bonjour, la je vois pas pourquoi cela bloque, tu sauvegardes tous tes documents perso " photos , musique, vidéos ..." sur dd externe ou sur cd ou dvd. car si tu fesais une mauvaise manipe avec le dvd de vista et qu'il te fasse une réinstallation il serait dommage de perdre des choses.

Essais de voir si tu peux réparrer en t'aidant ce ce lien http://www.vista-xp.fr/forum/topic346.html

et si tu as le dvd de vista essais de faire une réparration http://www.vista-xp.fr/forum/topic39.html

arsinoé · Answer

Bonjour,
J'ai vérifié les fichiers système de Windows et tout est OK.
Par contre j'ai un souci pour faire une réparation avec le dvd de Vista.
Lorsque j'ai eu l'ordi, j'ai gravé le 1er dvd sans problème, mais ce matin j'ai essayé 2 fois de graver le second, et j'ai gaspillé 2 dvd car je n'y arrive pas.
Donc du coup, je suis bien embêtée car je ne sais pas quoi faire.

jacques.gache · Answer

bonjour, quand je disais réparrer avec le dvd vista c'est avec le dvd windows vista si tu l'as eu avec le pc , mais vu ce que tu me dis tu n'as pas eu le dvd avec l'achat du pc , vista est préinstaller et tu devais faire les dvd de sauvegarde dés le premier allumage du pc tu dis en avoir fais un et pas le deuxième !! pourquoi !!

sinon ton pc est un pc de marque et de laquel as tu le modéle exacte de façon à rechercher sur internet si il n'y aurait pas un système de restauration interne " de type recovery" ce qui permetterais de réinstaller ton vista sans dvd si il fallait le faire le jour ou le pc plante

arsinoé · Answer

C'est pas spécialement au 1er allumage que je devais les faire, il me le rappelait régulièrement.
J'ai fait le 1er en me disant je ferai le 2ème plus tard.... et le temps est passé et je ne l'ai pas fait. Maintenant je regrette mais c'est trop tard.
C'est un Packard Bell easynote MZ36.

jacques.gache · Answer

la référence produit ne semble pas complette http://support.packardbell.com/fr/item/index.php?m=step3&i=platform_argo_c2
sinon regarde dans tes papier si tu n'as pas un petit bouquin ou il expliquerais comment restaurer le pc , sur certain modéle de cette marque avec F 10 ou F 11 au démarrage tu peux soit réparrer ou réinstaller windows , mais attention de bien avoir tous mis de côté avant car tu pourrais perdre tes trucs perso !!

arsinoé · Answer

Ca y est j'ai fait une restauration complète.
Depuis l'ordi démarre sans problème, mais il s'arrête tout seul d'un seul coup au bout d'un certain temps (ça peut-être 5 mn comme 1/2 heure).
C'est pour ça que je me dépêche d'envoyer mon message avant que ça recommence.
Si ça peut t'aider, il rame énormément (bien plus qu'avant).

jacques.gache · Answer

Ca y est j'ai fait une restauration complète.
tu veux dire que tu as réinstaller windows ou juste une restauration système à date et heure sur le calendrier ??? 

dans le premier cas il faudrait surement faire une mise à jour matériel et logiciels du pc , et dans le deuxième cas avec la restauration système tu as pu faire resortir l'infection et pour le savoir il faudrait mettre un RSIT

arsinoé · Answer

J'ai réinstallé windows.

jacques.gache · Answer

si tu as réinstaller regarde si il te propose de nouveau de graver tes dvd !!

tu dis qu'il s'arrête tout seul !!  c'est bizare tu fais tes mise à jour windows sur windows update et puis tu peux faire celle matériel sur https://www.touslesdrivers.com/index.php?v_page=29  tu acceptes l'installation de l'active X , et puis une fois la détection fini il te proposera en bleu les mise à jour dispo^pour ton pc tu prends les dernière en date mais pas les versions bêta

arsinoé · Answer

Je te répond de sur un autre ordinateur, car je n'ai pas le temps de rédiger un message que l'ordinateur s'éteint.
Si ça peut t'aider, l'écran devient noir et les lumières s'éteignent. Lorsque je le re-allume, il me dit qu'il n'a pas été éteint correctement. J'ai essayé de le démarrer en mode sans échec avec l'accès à internet mais c'est pareil.
Windows ne me demande pas de créer les cd, alors que j'ai bien tout remis à zéro.

jacques.gache · Answer

si ton pc qui merde n'est pas en wifi tu redémarres en mode sans echec avec prise en charge du réseau et tu navigue normalement sans prendre de risque car tu n'auras pas de protection et si il marche normalement c'est que tu as une salopperie sur le pc et que soit elle a résisté au formatage ou tu as installer sans formater au moment de la réinstallation ce qui voudrait dire que tu as pas réinstallé mais réparrer, donc dans ce cas si une fois en mode sans echec avec prise en charge du réseau il ne s'arrête pas il serai bon de faire des investigation pour voir ce qu'il y a et dans ce cas tu me fais un RSIT

arsinoé · Answer

Voila les rapports RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Nanou at 2009-06-10 11:55:01
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 92 GB (86%) free of 106 GB
Total RAM: 1918 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:14, on 10/06/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Nanou\Desktop\RSIT.exe
C:\Program Files	rend micro\Nanou.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1172483507\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

jacques.gache · Answer

bonjour, sur le RSIT rien tu dis que même en mode sans echec il te fait pareil je pense que tu as un problème matériel la je peux pas te dire quoi mais possible que ton allimantation est fatigué demande sur la page du forum Matériel/Hardware ils sauront mieux que moi pour te guider

arsinoé · Answer

OK je vais faire comme tu dis et poser la question sur l'autre forum.
Je te remercie beaucoup pour ta gentillesse et ton dévouement.
Bonne soirée et peut-être à une autre fois.

jacques.gache · Answer

tiens moi au courrant , Merci

arsinoé · Answer

OK je te tiens au courant de l'évolution.

Utilisateur anonyme · Answer

Bonjour
J'ai ELIBAGLA sur un PC - cette nuit j'ai fait un scan avec AD-AWARE - le résultat est :

Win32.Backdoor.SDBot
Documents\Anti Baggle\ELIBAGLA.BB%D8AB%D8%D8I.EXE

Win32.Backdoor.SDBot
HKU:.default\software\microsoft\windows\currentversion\policies\system:

Win32.Backdoor.SDBot
HKLM:system\controlset001\services\lanmanserver\parameters:autosharewks

Win32.Backdoor.SDBot
HKLM:system\currentcontrolset\services\lanmanserver\parameters:autosharewks

Je fais un scan complet tous les 15 jours (ou plus) avec AD-AWARE et c'est la première fois qu'il réagit....

Il y a un an environ comme j'avais des PC inutilisés je me suis amusé à tester les antivirus - Le pb était de trouver où était les virus - je me suis servi des programmes que l'on trouve en "peer2peer" - 
Sur un pc j'avais avast, un autre pc avira, un autre pc avg, un autre pc bitdefender - 

un jour je me suis payé un "Bagle" du type = empeche les .exe de fonctionner - le seul à avoir réagit était avast - mais avast n'avait pas pu empecher l'infection 
(j'avais des messages venant d'avast = "on essaie d'écrire dans votre base de registre" "le bouclier vient de s'arreter" etc ... et je voyais avast s'écrouler = détruit car ne marchait plus ensuite meme apres avoir resolu le pb)

j'avais essayé d'utiliser les points de restauration = j'ai essayé un point de restauration pas plus car j'ai vu que le virus détruisait le point de restauration
je m'en suis sorti assez facilement avec Elibagla en mode sans échec - j'avais envoyé l'info à avast lesquels ont du faire ce qu'il faut - car j'ai refait la manip plus tard et avast à bloqué le bagle - ensuite j'ai mis ce bagle sur un autre pc et j'ai scanné par avast qui l'a éradiqué (j'ai comparé avec Elibagla = l'action était la meme)

Conclusion 
= cette réaction d'AD-AWARE par rapport à Elibagla doit etre à prendre au sérieux (ça ressemble au pb startup-mechanic - je me souviens que startup-mechanic était à la mode il y a 2 à 3 ans !)

= faut être fou pour utiliser des programmes à partir des peer2peer
(95 % des fichiers téléchargés infectés et des pas tristes ! les videos n'avaient rien sauf une video avec extension wmv indirectement infectée car me demandait acces à un site payant - mais en plus curieusement me demandait d'installer une option windows media player ... par curiosité j'ai suivi .... rien ne se passait .... j'ai quand meme fouillé le pc == on m'avait installé un réseau sur le pc !)

le pire est que certains anti-virus ne réagissent pas !

bon je n'utilise pas ces pc pour mes travaux perso  (je les formate de temps en temps avec un formatage type killdisk ) 
ça me sert aussi à tester et comparer des programmes = ensuite je mets le programme selectionné sur mon pc de travail
Polin93

jacques.gache · Answer

polin93 bonjour, tu devrais ouvrir ton propre sujet si tu veux trouver de l'aide, tu dis J'ai ELIBAGLA sur un PC   les outils comme celui-ci sont mis à jour très souvant donc si tu l'avais depuis plusieurs jour il n'avais pas les dernières mise à jour donc il peut passer à coté des nouvelles variente d'infection , tu ouvres un sujet et si tu veux j'irai d'aider et sur ton sujet tu postes un RSIT pour avancer 

• Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil. 
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

ps:Les rapports se trouvent à cet endroit:

C:\rsit\info.txt

C:\rsit\log.txt


Tutoriel pour t'aider

arsinoé · Answer

C'est pas grave, on n'est pas des machines, on ne peut pas toujours penser à tout.

Problème avec Elibagla

64 réponses