Sujet Précédent Sujet Suivant

Infection BAGLE

Fermé
zazou - 31 oct. 2009 à 20:34
 zazou - 3 nov. 2009 à 12:25
Bonjour,
lorsque j'essaie d'installer un anti-virus le message suivant apparait : "xxx.exe n'est pas une application WIN32 valide". J'ai donc suivi le tutoriel concernant ce problème et vérifié les configurations du navigateur, du controleur IDE ... Le problème vient donc à mon avis d'une infection par le ver Bagle, j'ai suivi les instructions du tutoriel et j'obtiens le rapport Findykill suivant : pouvez vous svp m'indiquer la procédure à suivre pour traiter mon problème. Merci d'avance.

PS : je ne suis pas très calée en informatique

############################## | FindyKill V5.016 |

# User : CAILLY BRIARD (Administrateurs) # DCM1LB3J
# Update on 26/10/2009 by Chiquitine29
# Start at: 18:03:43 | 31/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : McAfee VirusScan [ Enabled | Updated ]
# FW : McAfee Personal Firewall[ Enabled ]

# C:\ # Disque fixe local # 229,77 Go (49,84 Go free) # NTFS
# D:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\FixCamera.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! C:\autorun.inf

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\Prefetch\102299812.EXE-139FBC17.pf
Présent ! C:\WINDOWS\Prefetch\116739140.EXE-03F7611D.pf
Présent ! C:\WINDOWS\Prefetch\116880890.EXE-367ED43C.pf
Présent ! C:\WINDOWS\Prefetch\116892000.EXE-34ACB5B7.pf
Présent ! C:\WINDOWS\Prefetch\116927375.EXE-34A910B3.pf
Présent ! C:\WINDOWS\Prefetch\131250984.EXE-0918369D.pf
Présent ! C:\WINDOWS\Prefetch\131266515.EXE-26D27693.pf
Présent ! C:\WINDOWS\Prefetch\131520812.EXE-01FBA093.pf
Présent ! C:\WINDOWS\Prefetch\146126546.EXE-0545A3FF.pf
Présent ! C:\WINDOWS\Prefetch\14780781.EXE-239B5409.pf
Présent ! C:\WINDOWS\Prefetch\14793515.EXE-388A8952.pf
Présent ! C:\WINDOWS\Prefetch\14798609.EXE-01687E4A.pf
Présent ! C:\WINDOWS\Prefetch\160687703.EXE-13C29FB3.pf
Présent ! C:\WINDOWS\Prefetch\175270562.EXE-2B08E9BF.pf
Présent ! C:\WINDOWS\Prefetch\175324656.EXE-39D9E5B3.pf
Présent ! C:\WINDOWS\Prefetch\189851453.EXE-3204E778.pf
Présent ! C:\WINDOWS\Prefetch\189858468.EXE-2F97F3D3.pf
Présent ! C:\WINDOWS\Prefetch\218970000.EXE-201E793A.pf
Présent ! C:\WINDOWS\Prefetch\219984.EXE-2AE616CC.pf
Présent ! C:\WINDOWS\Prefetch\221203.EXE-0F22D25E.pf
Présent ! C:\WINDOWS\Prefetch\291762500.EXE-21F8F91D.pf
Présent ! C:\WINDOWS\Prefetch\29311875.EXE-29986648.pf
Présent ! C:\WINDOWS\Prefetch\43837765.EXE-2C0E0980.pf
Présent ! C:\WINDOWS\Prefetch\43993468.EXE-3696C306.pf
Présent ! C:\WINDOWS\Prefetch\43997984.EXE-2A8F9677.pf
Présent ! C:\WINDOWS\Prefetch\44078828.EXE-3B0044B6.pf
Présent ! C:\WINDOWS\Prefetch\58573796.EXE-3769ADAB.pf
Présent ! C:\WINDOWS\Prefetch\58597703.EXE-3077A580.pf
Présent ! C:\WINDOWS\Prefetch\73114500.EXE-0E6B83C2.pf
Présent ! C:\WINDOWS\Prefetch\73215093.EXE-2BA9D772.pf
Présent ! C:\WINDOWS\Prefetch\87647375.EXE-3AE16513.pf
Présent ! C:\WINDOWS\Prefetch\87709000.EXE-0FC17E0C.pf
Présent ! C:\WINDOWS\Prefetch\87713875.EXE-30D62E3B.pf
Présent ! C:\WINDOWS\Prefetch\87717328.EXE-287C1708.pf
Présent ! C:\WINDOWS\Prefetch\87770734.EXE-13A54911.pf
Présent ! C:\WINDOWS\Prefetch\FLEC006.EXE-01AF6166.pf
Présent ! C:\WINDOWS\Prefetch\MDELK.EXE-0EF461CE.pf
Présent ! C:\WINDOWS\Prefetch\WINTEMS.EXE-377E42D4.pf

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\mdelk.exe
Présent ! C:\WINDOWS\system32\wintems.exe

################## | C:\WINDOWS\system32\drivers |

Présent ! C:\WINDOWS\system32\drivers\down
Présent ! C:\WINDOWS\system32\drivers\downld
Présent ! C:\WINDOWS\system32\drivers\srosa.sys
Présent ! C:\WINDOWS\system32\drivers\winfilse.exe

################## | C:\Documents and Settings\CAILLY BRIARD\Application Data |

Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\config
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\downloads.bak
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\downloads.txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\file.exe
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\flec003.exe
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\Incoming
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\lang
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\names.txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\server.txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\skins
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\Temp
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\WDIR
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\hidires\webserver
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\data.oct
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\list.oct
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\CAILLY BRIARD\Application Data\m\shared

################## | Références de comparaison Bagle MD5 : |

File : C:\WINDOWS\system32\drivers\winfilse.exe
-> Crc32 : 2144df1c | Md5 : 5e83f4aae23bbad0a91a3d9ff056d6c8

################## | Autres detections ... |

Bagle ! "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
-> Size : 860168 | Crc32 : 2144df1c | Md5 : 5e83f4aae23bbad0a91a3d9ff056d6c8

Bagle ! "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"
-> Size : 860168 | Crc32 : 2144df1c | Md5 : 5e83f4aae23bbad0a91a3d9ff056d6c8

################## | Temporary Internet Files |

Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\3Y8R4KL7\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\3Y8R4KL7\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\6XTYBELS\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\6XTYBELS\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\833JE0D9\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\B60VFLOH\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\ffl[3].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\CZT3A2N1\file[1].txt
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\GPMRKHQV\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\GPMRKHQV\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\MDZGTSBY\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\OPOJ4NOV\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\ffl[1].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\ffl[2].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\ffl[3].html
Présent ! C:\Documents and Settings\CAILLY BRIARD\Local Settings\Temporary Internet Files\Content.IE5\PNRZPT46\file[1].txt

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\FirtR]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\UI] "KEY540534"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\bisoft]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\DateTime4]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\FFC]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\FirtR]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winfilse]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKU\S-1-5-21-3853142092-3817925822-3869974892-1005\Software\Local AppWizard-Generated Applications\winfilse]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.016 ! |

12 réponses

Réponse 1 / 12
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 228
2 nov. 2009 à 12:37
Impressionnant !

FindyKill a fait un super boulot.

Certains programmes ont été endommagés par bagle, tu vas devoir les réinstaller.
1
Réponse 2 / 12
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 228
31 oct. 2009 à 20:45
Bonjour

Branche toutes tes unités externes au PC ( DD externes, clé USB, lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip ...


Ferme toutes les applications en cours !

Relance FindyKill :

choisis cette fois-ci l'option 2 (suppression).

/!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil

--> Poste le nouveau rapport FindyKill.txt qui est généré.

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valide .
0
Réponse 3 / 12
zazou
1 nov. 2009 à 20:31
Ok, j'ai fais toutes les manips demandées...voici le fichier texte qui sort de findykill :

http://hjepl.free.fr/temporaire/Findykill.txt

Merci pour votre aide.
0
Réponse 4 / 12
zazou
2 nov. 2009 à 13:31
Merci pour votre réponse,

Y'a t-il encore des démarches à effectuer ou le virus est il totalement éliminé ? Quel antivirus gratuit me conseillez vous ?
Comment puis je voir sur le rapport quels sont les logiciels à réinstaller ?

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 228
2 nov. 2009 à 13:36
On va regarder ça, en même temps, ça permettra de voir si tu as d'autres problèmes :

• Télécharge Random's System Information Tool (RSIT) de Random / Random et sauvegarde-le sur ton Bureau,

-> http://images.malwareremoval.com/random/RSIT.exe

• Double-clique sur RSIT.exe pour lancer le programme,
• Clique sur continuer sur l'écran Disclaimer,
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
Ferme info.txt (<<qui sera réduit dans la Barre des Tâches), il ne te sera demandé qu’en cas de besoin.

Tuto si besoin : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
0
Réponse 6 / 12
zazou
2 nov. 2009 à 13:54
Voila ce que j'obtiens ( c'est encore trop long pour le copier sur le forum)

http://hjepl.free.fr/temporaire/log.txt
0
Réponse 7 / 12
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 228
2 nov. 2009 à 13:57
Il y a encore des infections....

• Télécharge Ad-remover ( de C_XX ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours !

• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 8 / 12
zazou
2 nov. 2009 à 15:54
Voila le rapport, sur le forum :)

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_A | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18.10.2009 à 19:05
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:12:32, 02/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: DCM1LB3J | Utilisateur actuel: CAILLY BRIARD
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\EoRezo
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\ItsTV
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoWeather_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\EoWeather
.
C:\DOCUME~1\CAILLY~1\APPLIC~1\EoRezo
C:\DOCUME~1\CAILLY~1\APPLIC~1\ItsLabel
C:\Program Files\EoRezo
C:\DOCUME~1\CAILLY~1\Cookies\cailly briard@eorezo[1].txt

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.4 [fr] *
.
Nom du profil: 9dz58fqq.default (CAILLY BRIARD)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://orange.fr/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.4");
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.google.com
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Bar: hxxp://www.google.com/ie
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials ... ) ==============
.
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08044.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08060_20.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08267_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08298_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08335_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_09085_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch07311.exe
C:\Documents and Settings\CAILLY BRIARD\Local Settings\Application Data\SupportSoft\DellSupportCenter\CAILLY BRIARD\exec\DSCPatch_2_2_08100_2.0.exe
C:\Documents and Settings\CAILLY BRIARD\Mes documents\jeux pc\alexandra-ledermann5\Crack\alexandra ledermann 5.exe
C:\Documents and Settings\CAILLY BRIARD\Mes documents\Mes vid‚os\DivX Movies\Copie de Alexandra Ledermann 5 L'h‚ritage Du Haras Fr (Cue Iso Doc Crack).rar
.
===================================
.
4363 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
1204 Fichier(s) - C:\DOCUME~1\CAILLY~1\LOCALS~1\Temp
15 Fichier(s) - C:\WINDOWS\Temp
.
18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
155 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 14:19:03 | 02/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.
0
Réponse 9 / 12
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 228
2 nov. 2009 à 15:57
OK
Alors, commence par supprimer tous tes cracks, c'est par là que bagle est arrivé....

Ensuite :

Télécharge UsbFix de chiquitine29 sur ton bureau

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe


--> Lance l installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Au menu principal choisis l'option " F " pour français et tape sur [entrée]

--> Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

--> Laisse travailler l’outil

-->Poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valide.
0
Réponse 10 / 12
zazou
2 nov. 2009 à 16:10
Il y a un truc bizarre ... Je n'arrive pas à trouver les premiers documents la racine s'arrête à C:\Documents and Settings\All Users il n'y a pas d' ApplicationData dans le repertoire ...

J'ai réussi à supprimer les 2 derniers fichiers les seuls que j'ai trouvé.

============== Suspect (Cracks, Serials ... ) ==============
.
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08044.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_1_08060_20.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08267_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08298_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_08335_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch_2_2_09085_2.0.exe
C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\exec\DSCPatch07311.exe
C:\Documents and Settings\CAILLY BRIARD\Local Settings\Application Data\SupportSoft\DellSupportCenter\CAILLY BRIARD\exec\DSCPatch_2_2_08100_2.0.exe
C:\Documents and Settings\CAILLY BRIARD\Mes documents\jeux pc\alexandra-ledermann5\Crack\alexandra ledermann 5.exe
C:\Documents and Settings\CAILLY BRIARD\Mes documents\Mes vid‚os\DivX Movies\Copie de Alexandra Ledermann 5 L'h‚ritage Du Haras Fr (Cue Iso Doc Crack).rar
.
0
Réponse 11 / 12
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 228
2 nov. 2009 à 16:15
Regarde après avoir affiché les fichiers cachés et les fichiers système :

https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
0
Réponse 12 / 12
zazou
3 nov. 2009 à 12:25
Bonjour,
bon alors sois je suis vraiment nulle en informatique sois mon ordi a vraiment un problème. Je suis le tuto pour afficher les fichiers cachés je mets appliquer et mon ordi reste bloqué sans afficher les fichiers cachés ...

Merci pour votre réponse
0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infécté par virus Bagle
cadum87 -
cadum87 -

2 réponses
worm bagle
manu2531 -
Utilisateur anonyme -

30 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse