Infection BAGLE

zazou -  
 zazou -
Bonjour,
lorsque j'essaie d'installer un anti-virus le message suivant apparait : "xxx.exe n'est pas une application WIN32 valide". J'ai donc suivi le tutoriel concernant ce problème et vérifié les configurations du navigateur, du controleur IDE ... Le problème vient donc à mon avis d'une infection par le ver Bagle, j'ai suivi les instructions du tutoriel et j'obtiens le rapport Findykill suivant : pouvez vous svp m'indiquer la procédure à suivre pour traiter mon problème. Merci d'avance.

PS : je ne suis pas très calée en informatique

############################## | FindyKill V5.016 |

# User : CAILLY BRIARD (Administrateurs) # DCM1LB3J
# Update on 26/10/2009 by Chiquitine29
# Start at: 18:03:43 | 31/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : McAfee VirusScan [ Enabled | Updated ]
# FW : McAfee Personal Firewall[ Enabled ]

# C:\ # Disque fixe local # 229,77 Go (49,84 Go free) # NTFS
# D:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\FixCamera.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! C:\autorun.inf

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\102299812.EXE-139FBC17.pf
Présent ! C:\WINDOWS\Prefetch\116739140.EXE-03F7611D.pf
Présent ! C:\WINDOWS\Prefetch\116880890.EXE-367ED43C.pf
Présent ! C:\WINDOWS\Prefetch\116892000.EXE-34ACB5B7.pf
Présent ! C:\WINDOWS\Prefetch\116927375.EXE-34A910B3.pf
Présent ! C:\WINDOWS\Prefetch\131250984.EXE-0918369D.pf
Présent ! C:\WINDOWS\Prefetch\131266515.EXE-26D27693.pf
Présent ! C:\WINDOWS\Prefetch\131520812.EXE-01FBA093.pf
Présent ! C:\WINDOWS\Prefetch\146126546.EXE-0545A3FF.pf
Présent ! C:\WINDOWS\Prefetch\14780781.EXE-239B5409.pf
Présent ! C:\WINDOWS\Prefetch\14793515.EXE-388A8952.pf
Présent ! C:\WINDOWS\Prefetch\14798609.EXE-01687E4A.pf
Présent ! C:\WINDOWS\Prefetch\160687703.EXE-13C29FB3.pf
Présent ! C:\WINDOWS\Prefetch\175270562.EXE-2B08E9BF.pf
Présent ! C:\WINDOWS\Prefetch\175324656.EXE-39D9E5B3.pf
Présent ! C:\WINDOWS\Prefetch\189851453.EXE-3204E778.pf
Présent ! C:\WINDOWS\Prefetch\189858468.EXE-2F97F3D3.pf
Présent ! C:\WINDOWS\Prefetch\218970000.EXE-201E793A.pf
Présent ! C:\WINDOWS\Prefetch\219984.EXE-2AE616CC.pf
Présent ! C:\WINDOWS\Prefetch\221203.EXE-0F22D25E.pf
Présent ! C:\WINDOWS\Prefetch\291762500.EXE-21F8F91D.pf
Présent ! C:\WINDOWS\Prefetch\29311875.EXE-29986648.pf
Présent ! C:\WINDOWS\Prefetch\43837765.EXE-2C0E0980.pf
Présent ! C:\WINDOWS\Prefetch\43993468.EXE-3696C306.pf
Présent ! C:\WINDOWS\Prefetch\43997984.EXE-2A8F9677.pf
Présent ! C:\WINDOWS\Prefetch\44078828.EXE-3B0044B6.pf
Présent ! C:\WINDOWS\Prefetch\58573796.EXE-3769ADAB.pf
Présent ! C:\WINDOWS\Prefetch\58597703.EXE-3077A580.pf
Présent ! C:\WINDOWS\Prefetch\73114500.EXE-0E6B83C2.pf
Présent ! C:\WINDOWS\Prefetch\73215093.EXE-2BA9D772.pf
Présent ! C:\WINDOWS\Prefetch\87647375.EXE-3AE16513.pf
Présent ! C:\WINDOWS\Prefetch\87709000.EXE-0FC17E0C.pf
Présent ! C:\WINDOWS\Prefetch\87713875.EXE-30D62E3B.pf
Présent ! C:\WINDOWS\Prefetch\87717328.EXE-287C1708.pf
Présent ! C:\WINDOWS\Prefetch\87770734.EXE-13A54911.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-01AF6166.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\mdelk.exe
Présent ! C:\WINDOWS\system32\wintems.exe

################## | C:\WINDOWS\system32\drivers |

Présent ! C:\WINDOWS\system32\drivers\down
Présent ! C:\WINDOWS\system32\drivers\downld
Présent ! C:\WINDOWS\system32\drivers\srosa.sys
Présent ! C:\WINDOWS\system32\drivers\winfilse.exe

################## | C:\Documents and Settings\CAILLY BRIARD\Application Data |

Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\config
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\downloads.bak
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\downloads.txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\file.exe
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\flec003.exe
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\Incoming
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\lang
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\names.txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\server.txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\skins
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\Temp
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\WDIR
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\webserver
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\data.oct
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\list.oct
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\shared

################## | Références de comparaison Bagle MD5 : |

File : C:\WINDOWS\system32\drivers\winfilse.exe
-> Crc32 : 2144df1c | Md5 : 5e83f4aae23bbad0a91a3d9ff056d6c8

################## | Autres detections ... |

Bagle ! "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
-> Size : 860168 | Crc32 : 2144df1c | Md5 : 5e83f4aae23bbad0a91a3d9ff056d6c8

Bagle ! "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"
-> Size : 860168 | Crc32 : 2144df1c | Md5 : 5e83f4aae23bbad0a91a3d9ff056d6c8

################## | Temporary Internet Files |

Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\3Y8R4KL7\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\3Y8R4KL7\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\6XTYBELS\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\6XTYBELS\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\833JE0D9\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\B60VFLOH\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\ffl[3].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\file[1].txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\GPMRKHQV\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\GPMRKHQV\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\MDZGTSBY\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\OPOJ4NOV\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\ffl[3].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\file[1].txt

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\FirtR]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\UI] "KEY540534"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\bisoft]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\DateTime4]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\FFC]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\FirtR]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winfilse]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Local AppWizard-Generated Applications\winfilse]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.016 ! |
Configuration: Windows XP
Firefox 3.5.4

12 réponses

  1. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    Impressionnant !

    FindyKill a fait un super boulot.

    Certains programmes ont été endommagés par bagle, tu vas devoir les réinstaller.
    1
  2. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    Bonjour

    Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
    Tu les retireras après la manip ...

    Ferme toutes les applications en cours !

    Relance FindyKill :

    choisis cette fois-ci l'option 2 (suppression).

    /!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil

    --> Poste le nouveau rapport FindyKill.txt qui est généré.

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

    PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
    tapes explorer.exe et valide
    .
    0
  3. zazou
     
    Ok, j'ai fais toutes les manips demandées...voici le fichier texte qui sort de findykill :

    http://hjepl.free.fr/temporaire/Findykill.txt

    Merci pour votre aide.
    0
  4. zazou
     
    Merci pour votre réponse,

    Y'a t-il encore des démarches à effectuer ou le virus est il totalement éliminé ? Quel antivirus gratuit me conseillez vous ?
    Comment puis je voir sur le rapport quels sont les logiciels à réinstaller ?

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    On va regarder ça, en même temps, ça permettra de voir si tu as d'autres problèmes :

    • Télécharge Random's System Information Tool (RSIT) de Random / Random et sauvegarde-le sur ton Bureau,

    -> http://images.malwareremoval.com/random/RSIT.exe

    • Double-clique sur RSIT.exe pour lancer le programme,
    • Clique sur continuer sur l'écran Disclaimer,
    • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
    Ferme info.txt (<<qui sera réduit dans la Barre des Tâches), il ne te sera demandé qu’en cas de besoin.

    Tuto si besoin : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
    0
  7. zazou
     
    Voila ce que j'obtiens ( c'est encore trop long pour le copier sur le forum)

    http://hjepl.free.fr/temporaire/log.txt
    0
  8. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    Il y a encore des infections....

    • Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    • Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    • Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "L" et tape sur [entrée] .

    • Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  9. zazou
     
    Voila le rapport, sur le forum :)

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_A | UNIQUEMENT XP/VISTA/7 =======
    .
    Mit à jour par C_XX le 18.10.2009 à 19:05
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 14:12:32, 02/11/2009 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Program Files\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: DCM1LB3J | Utilisateur actuel: CAILLY BRIARD
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    HKCU\Software\EoRezo
    HKCU\Software\ItsLabel
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Classes\EoRezoBHO.EoBho
    HKLM\Software\Classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\Software\EoRezo
    HKLM\Software\ItsLabel
    HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
    HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\ItsTV
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoWeather_is1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\EoWeather
    .
    C:\DOCUME~1\CAILLY~1\APPLIC~1\EoRezo
    C:\DOCUME~1\CAILLY~1\APPLIC~1\ItsLabel
    C:\Program Files\EoRezo
    C:\DOCUME~1\CAILLY~1\Cookies\cailly briard@eorezo[1].txt

    (!) -- Fichiers temporaires supprimés.

    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.4 [fr] *
    .
    Nom du profil: 9dz58fqq.default (CAILLY BRIARD)
    .
    (Prefs.js) user_pref("browser.startup.homepage", "hxxp://orange.fr/");
    (Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.4");
    .
    .
    * Internet Explorer Version 6.0.2900.5512 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Search Page: hxxp://www.google.com
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Search Bar: hxxp://www.google.com/ie
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Search Bar: hxxp://search.msn.com/spbasic.htm
    HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials ... ) ==============
    .
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08044.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08060_20.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08267_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08298_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08335_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_09085_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch07311.exe
    C:\Documents and Settings\CAILLY BRIARD\Local Settings\Application Data\SupportSoft\DellSupportCenter\CAILLY BRIARD\exec\DSCPatch_2_2_08100_2.0.exe
    C:\Documents and Settings\CAILLY BRIARD\Mes documents\jeux pc\alexandra-ledermann5\Crack\alexandra ledermann 5.exe
    C:\Documents and Settings\CAILLY BRIARD\Mes documents\Mes vid‚os\DivX Movies\Copie de Alexandra Ledermann 5 L'h‚ritage Du Haras Fr (Cue Iso Doc Crack).rar
    .
    ===================================
    .
    4363 Octet(s) - C:\Ad-Report-CLEAN[1].log
    .
    1204 Fichier(s) - C:\DOCUME~1\CAILLY~1\LOCALS~1\Temp
    15 Fichier(s) - C:\WINDOWS\Temp
    .
    18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
    155 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
    .
    Fin à: 14:19:03 | 02/11/2009 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    0
  10. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    OK
    Alors, commence par supprimer tous tes cracks, c'est par là que bagle est arrivé....

    Ensuite :

    Télécharge UsbFix de chiquitine29 sur ton bureau

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    --> Lance l installation avec les paramètres par défaut

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Au menu principal choisis l'option " F " pour français et tape sur [entrée]

    --> Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    --> Laisse travailler l’outil

    -->Poste le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valide.
    0
  11. zazou
     
    Il y a un truc bizarre ... Je n'arrive pas à trouver les premiers documents la racine s'arrête à C:\Documents and Settings\All Users il n'y a pas d' ApplicationData dans le repertoire ...

    J'ai réussi à supprimer les 2 derniers fichiers les seuls que j'ai trouvé.

    ============== Suspect (Cracks, Serials ... ) ==============
    .
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08044.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08060_20.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08267_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08298_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08335_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_09085_2.0.exe
    C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch07311.exe
    C:\Documents and Settings\CAILLY BRIARD\Local Settings\Application Data\SupportSoft\DellSupportCenter\CAILLY BRIARD\exec\DSCPatch_2_2_08100_2.0.exe
    C:\Documents and Settings\CAILLY BRIARD\Mes documents\jeux pc\alexandra-ledermann5\Crack\alexandra ledermann 5.exe
    C:\Documents and Settings\CAILLY BRIARD\Mes documents\Mes vid‚os\DivX Movies\Copie de Alexandra Ledermann 5 L'h‚ritage Du Haras Fr (Cue Iso Doc Crack).rar
    .
    0
  12. zazou
     
    Bonjour,
    bon alors sois je suis vraiment nulle en informatique sois mon ordi a vraiment un problème. Je suis le tuto pour afficher les fichiers cachés je mets appliquer et mon ordi reste bloqué sans afficher les fichiers cachés ...

    Merci pour votre réponse
    0