[Virus] Infecté impossible d'installer un ant

Question

Bonjour,J'ai des soucis de virus et d'antivirus :) Original non ? Je vous explique, je sais qu'il y a des trojens, virus ... J'avais un norton d'installé j'ai voulu le desinstaller, j'ai du forcer car il y a un des messages d'erreur, je ne sais plus exactement, maintenant il ne fait plus parti de la liste des programmes à supprimer, mais par contre, les fichiers sont toujours là !!Et le pire est que ça m'empeche d'installer un autre autre antivirus type avast :(J'ai voulu réinstaller Norton pour le redésinstaller ensuite, en espérant que ça marche bien, mais mes virus me sorte lors de l'install que je ne peux l'installer car le disque est plein ou protégé en écriture. J'ai essayé en mode sans echec, ça marche sauf à un moment où il reconnait que je suis en mode sans echec et donc l'install s'arrete :(Comment je peux désinstaller Norton de ce fait ??Je vous remercie bien d'avance ;)Voici aussi mon fichier de log de Hijackthis :Logfile of HijackThis v1.99.1Scan saved at 14:54:29, on 15/02/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Acer\eManager\anbmServ.exeC:\Program Files\TightVNC\WinVNC.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\WINDOWS\system32\rundll32.exeC:\WINDOWS\system32\igfxtray.exeC:\WINDOWS\system32\hkcmd.exeC:\acer\epm\epm-dm.exeC:\Program Files\Launch Manager\QtZgAcer.EXEC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\WINDOWS\system32\NWTRAY.EXEC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\system32\winlog.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\system32\winlog.exeC:\Program Files\Corel\WordPerfect Office 2000\Register\Remind32.exeC:\Program Files\FinePixViewer\QuickDCF.exeC:\Program Files\OpenOffice.org 2.0\program\soffice.exeC:\Program Files\OpenOffice.org 2.0\program\soffice.BINC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\WINDOWS\pchealth\helpctr\binaries\helpctr.exeC:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exeC:\Program Files\mozilla.org\Mozilla\mozilla.exeC:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.comR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [LaunchApp] AlaunchO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgentO4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNCO4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNCO4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMENameO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exeO4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe bootO4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXEO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXEO4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exeO4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exeO4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUNO4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelperO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exeO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [PathOOOvirg] C:\Program Files\OpenOffice.org1.1.4\program\OOoVirgTray.exeO4 - HKCU\..\Run: [sysformat] C:\WINDOWS\system32\sysformat.exeO4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exeO4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exeO4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\VIVIANE\Application Data\m\mue.exeO4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exeO4 - Global Startup: Corel Registration.lnk = C:\Program Files\Corel\WordPerfect Office 2000\Register\Remind32.exeO4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2002 Fra\AcPreview.ocxO17 - HKLM\System\CCS\Services\Tcpip\..\{6423645E-20C4-49E8-914B-689E89E8ACA8}: NameServer = 194.98.65.65,194.98.65.165O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeO23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\TightVNC\WinVNC.exe" -service (file missing)De plus je ne peux plus afficher ma liste des tâches, le CTRL+ALT+SUPPR fonctionne mais quand je veux afficher la liste des tâches je reviens sur mon bureau comme si j'avais fait annulé  :)Génial !!!En tous cas merci d'avance ;)

Utilisateur anonyme · Answer

salut lance hijack/ coche ces lignes puis clike sur "fix checked"O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\system32\sysformat.exeO4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\VIVIANE\Application Data\m\mue.exe 1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume) 2.  affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. Decocher masquer les extentions dont le type est connues 3.ensuite va dans demarrer/rechercher et tape: winlog.exe sysformat.exewintems.exe mue.exe  suprime les et  vide ta corebeille NB : masque les fichiers caché en suivant le meme chemin redemare en mode normal :telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)(1) ad-aware version 1.06 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite voir demo http://pageperso.aol.fr/balltrap34/adwseflash.zip *** (2) spybot version 1.4 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite voir demo d utilisation http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm *** et aussi ceci (3) CleanUp40.exe NB : laisse les option sur standard ( voir demo)  http://www.florensac-chasse-trap.com/ section virus/logiciel de securite voir demo http://pageperso.aol.fr/balltrap34/democleanup.htm ps : un grand merci a balltrap pour les lien :) (4) Edwido  http://download.ewido.net/ewido-setup.exe Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour. Clique sur scanner puis sur scan complet du système. Puis colle le resultat ici suivi d'un hijack@++++++++++

NAL · Answer

salut g une ami c le meme probleme elle arrive plus a installer un antivirus es kil n'y  a pas un moyen de graver un cd pour booter dessus et faire une analyse ?

salwa5 · Answer

bonsoir je soupconne le virus bagle

Télécharge Blacklight (de F-Secure) 
https://www.f-secure.com/en
https://europe.f-secure.com/exclude/blacklight/index.shtml 


et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse 



a+++

poisson934 · Answer

bonjours,

j'ai le meme probleme avec mon pc, j'en ai un peu marre de reformater si je peut avoir un peu d'aide.

merci d'avance.

poisson

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:08:54, on 18/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\poisskail\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1	oolbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{53154F62-42AF-4FEC-9EC9-974FE15B63AD}: NameServer = 80.10.246.130 80.10.246.3
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Capitan Nissa · Answer

Bonjour, 
Salut, 
j'ai le problème suivant :
- J'ai désinstaller antivir ce matin et depuis j'essaye de le remettre mais impossible ! ! Je me suis dit qu'à cela ne tienne je met avg et là aussi impossible!! Dans les 2 cas impossible de créer les repertoires (si j'ai bien compris). 
J'ai regerder les post précedent, suivi les conseils, passé 5 antivirus en ligne, curré profondement mon registre windows avec ccleaner, rien y fait ça ne marche pas. 
Si qqn a une idée? 
Merci d'avance.

salwa5 · Answer

c'est quoi le message d'erreur quand tu essay d'installer un antivirus?
a++

Goose · Answer

Bonjour, 

j'ai le meme problème...

antivirus en ligne, rien n'est detecté

mais j'ai tenté d'installer 3 antivirus et a chaque fois ça echoue. Il doit detecter le nom des exe en cours d'installation (bdagent.exe , etc...) 

voici mon scan hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:09, on 18/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Goose · Answer

ah j'ai oublier de preciser, mais le virus, je suppose, m'a desintaller avast !..

salwa5 · Answer

bonjour

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt 


a++++

Goose · Answer

Sun Nov 18 12:37:01 2007
EliBagle v10.71  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.71
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.71
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Sun Nov 18 12:37:20 2007
EliBagle v10.71  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4856
Nº Total de Ficheros:      46523
Nº de Ficheros Analizados: 10848
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

salwa5 · Answer

oki le virus bagle a bien été supprimer essay de desinstaller ton antivirus puis reinstalle le et scan ton ordi avec

a+++

Goose · Answer

efectivement c'est bien mieux, je peux installer un antivirus :)

merci !

PS : pour mon info perso, que fais le virus bagle ? destruction de fichier ? envoi de spam ?...

salwa5 · Answer

le virus bagle se propage essentiellement par mail ou par peer2peer ( kazzaa , emule... ect ) donc tu as surement ouvert une pieces jointe infecté ou bien tu as telecharger un fichier verolé sur emule ou autre  . apres infection le ver desactive l'antivirus et ensuite s'envois a tout tes contact via email  pour plus d'info : 

https://securelist.fr/?virusid=21928 
http://www.secuser.com/alertes/2004/bagle.htm 

donc je te conseille d'eviter d'ouvrir des piece jointe d'un expediteur inconnu et analyser les fichiers telecharger via emule avant de les executer , ton antivirus doit avoir la fonction ' bouclier email et bouclier peer2peer '  il faut just le configurer correctement ...

a++++

ludcia · Answer

impossible de réinstaller avast  sur vista qui a disparu d'un seul coup du coup g suivi les conseil de salwa5 mais je ne sais pas ce qui faut faire ensuite, après la  détection avec elibagla. aidez moi s'il vous plait g besoin de cet ordinateur. merci

salwa5 · Answer

fait ceci dans l'ordre 



1. Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
tout en bas de cette page tu trouveras un outil 
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
installe ce fichier sur le bureau. 
ensuite double-clic sur Elibagla.exe 
>laisse la case "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 
>poste le rapport final qui sera dans c:\infosat.txt 


2. deinstalle avast dans paneau de configuration/ajout suppression de programmes 

3.reinstalles avast 

a+++

kinout · Answer

salut j'ai le meme soucis, et j'ai fais ta procedure....apparement rien...si tu as une idée.

	  Tue Jan 01 19:17:47 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Jan 01 19:18:10 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   3257
Nº Total de Ficheros:      38604
Nº de Ficheros Analizados: 7047
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Tue Jan 01 19:19:59 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.

merci..kinout

salwa5 · Answer

c quoi le probleme? avast ne veut pas se desinstaller?

a++

ludcia · Answer

ben si mais quand je le réinstalle ça fait rioen g pas d'icone et quand j'en ai une elle mene à rien

ludcia · Answer

je ne sais plus quoi faire y a aucun antivirus qui veut s'installer et pourtant avast marche au demarrage mais ne fonctionne pas dans la barre des taches (dans le processus) qu'est ce que je peux faire?

mimi · Answer

impossible d installer un antivirus kan je veus telecharger ca m affiche les parametre de securiter ne vous permette pas de telecharger ce fichier

kinout · Answer

salut salwa5...j'ai finalement réussi a reinstallé AVAST...et il m'a trouvé un ver(win32 beagle..)
ce qui est surprenant c'est que ton programme ne le marque pas en fichier infectados?
bon si on lit au dessus on voit bien > C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle 

ca a du le desactivé, juste le temps que je puisse retelechargé avast et le réinstallé, puis enfin scanné pour le mettre en quarantaine...
en tout cas merci.... ton astuce a fonctionnée...

maintenant j'ai ptetre une autre question...ANTIVIR ou AVAST ?
allez tcho et au plaisir de vous lire

salwa5 · Answer

bonjour cette ligne  C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle 

veut dire que l'outil a bien supprimé le ver :p

concernant ta 2 eme question d'apres des testes serieux antivir est plus performant qu'avast mais il est entierement en englais :p 

voici le classement des antivus 2007


Rank 

1. Kaspersky version 7.0.0.43 beta - 99.23% 

2. Kaspersky version 6.0.2.614 - 99.13% 

3. Active Virus Shield by AOL version 6.0.0.308 - 99.13% 

4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13% 

5. F-Secure 2007 version 7.01.128 - 98.56% 

6. BitDefender Professional version 10 - 97.70% 

7. BullGuard version 7.0.0.23 - 96.59% 

8. Ashampoo version 1.30 - 95.80% 

9. AntiVir version 7.03.01.53 Classic - 95.08% 

10. eScan version 8.0.671.1 - 94.43% 

11. Nod32 version 2.70.32 - 94.00% 

12. CyberScrub version 1.0 - 93.27% 

13. Avast Professional version 4.7.986 - 92.82% 

14. AVG Anti-Malware version 7.5.465 - 92.14% 

15. F-Prot version 6.0.6.4 - 91.35% 

16. McAfee Enterprise version 8.5.0i+AntiSpyware module - 90.65% 

17. Panda 2007 version 2.01.00 - 90.06% 

18. Norman version 5.90.37 - 88.47% 

19. ArcaVir 2007 - 88.24% 

20. McAfee version 11.0.213 - 86.13% 

21. Norton Professional 2007 - 86.08% 

22. Rising AV version 19.19.42 - 85.46% 

23. Dr. Web version 4.33.2 - 85.09% 

24. Trend Micro Internet Security 2007 version 15.00.1450 - 84.96% 

25. Iolo version 1.1.8 - 83.35% 

26. Virus Chaser version 5.0a - 79.51% 

27. VBA32 version 3.11.4 - 77.66% 

28. Sophos Sweep version 6.5.1 - 69.79% 

29. ViRobot Expert version 5.0 - 69.53% 

30. Antiy Ghostbusters version 5.2.1 - 65.95% 

31. Zondex Guard version 5.4.2 - 63.79% 

32. Vexira 2006 version 5.002.62 - 60.07% 

33. V3 Internet Security version 2007.04.21.00 - 55.09% 

34. Comodo version 2.0.12.47 beta - 53.94% 

35. Comodo version 1.1.0.3 - 53.39% 

36. A-Squared Anti-Malware version 2.1 - 52.69% 

37. Ikarus version 5.19 - 50.56% 

38. Digital Patrol version 5.00.37 - 49.80% 

39. ClamWin version 0.90.1 - 47.95% 

40. Quick Heal version 9.00 - 38.64% 

41. Solo version 5.1 build 5.7.3 - 34.52% 

42. Protector Plus version 8.0.A02 - 33.13% 

43. PcClear version 1.0.4.3 - 27.14% 

44. AntiTrojan Shield version 2.1.0.14 - 20.25% 

45. PC Door Guard version 4.2.0.35 - 19.95% 

46. Trojan Hunter version 4.6.930 - 19.20% 

47. VirIT version 6.1.75 - 18.78% 

48. E-Trust PestPatrol version 8.0.0.6 - 11.80% 

49. Trojan Remover version 6.6.0 - 10.44% 

50. The Cleaner version 4.2.4319 - 7.26% 

51. True Sword version 4.2 - 2.20% 

52. Hacker Eliminator version 1.2 - 1.43% 

53. Abacre version 1.4 - 0.00% 


http://virus.gr/portal/en/node/28
a++++

salwa5 · Answer

ludcia commence par poster le raport d'elibagla ...

a++

ludcia · Answer

voici le rapport:


	  Mon Dec 31 15:19:58 2007
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

	  Mon Dec 31 15:20:24 2007
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11623
Nº Total de Ficheros:      68947
Nº de Ficheros Analizados: 11022
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Mon Dec 31 15:33:41 2007
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11623
Nº Total de Ficheros:      68910
Nº de Ficheros Analizados: 11022
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Mon Dec 31 17:44:59 2007
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

	  Mon Dec 31 17:45:11 2007
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\14671441.EXE --> Eliminado Bagle

Nº Total de Directorios:   11637
Nº Total de Ficheros:      69147
Nº de Ficheros Analizados: 11040
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Mon Dec 31 17:59:59 2007
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11639
Nº Total de Ficheros:      69184
Nº de Ficheros Analizados: 11040
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Tue Jan 01 18:29:25 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

	  Tue Jan 01 18:29:40 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\1550197.EXE --> Eliminado Bagle

Nº Total de Directorios:   11643
Nº Total de Ficheros:      68557
Nº de Ficheros Analizados: 11038
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Tue Jan 01 18:39:10 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

	  Tue Jan 01 18:39:45 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2086
Nº Total de Ficheros:      16506
Nº de Ficheros Analizados: 1933
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Tue Jan 01 19:04:07 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

	  Tue Jan 01 19:04:12 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\153863.EXE --> Eliminado Bagle

Nº Total de Directorios:   11641
Nº Total de Ficheros:      68626
Nº de Ficheros Analizados: 11037
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Tue Jan 01 22:23:30 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

	  Tue Jan 01 22:23:35 2008
EliBagle v10.79  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11642
Nº Total de Ficheros:      68818
Nº de Ficheros Analizados: 11036
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

salwa5 · Answer

ok c bon maintenant essay de desinstaller avast dans ajout/suppression de programe 

redemare l'ordi et reinstalle le

a++++

ludooo35 · Answer

Bonsoir,

Même problème pour moi, j'ai fais tourner l'application : "elibagla" voici le résultat :

 Sat Nov 15 16:55:22 2008
EliBagle v11.96  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   22997
Nº Total de Ficheros:      177148
Nº de Ficheros Analizados: 18374
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Sat Nov 15 17:23:48 2008
EliBagle v11.96  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\USERS\LUDOVIC\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\LUDOVIC\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

	  Sat Nov 15 17:26:02 2008
EliBagle v11.96  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\USERS\LUDOVIC\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\LUDOVIC\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

Merci pour le coup de pouce

salwa5 · Answer

normalement le virus est supprimer . essay de desinstaller / reinstaller ton antivirus / redemare l'ordi et dit nous ce que ca donne

a++++

ludooo35 · Answer

Je viens de faire la manip et rien du tout, voici le message d'erreur de Avast quand je lance l'application :

C:...\Avast4\ashAvast.exe n'est pas une application Win32 valide

Je dois comprendre quoi?

Merci beaucoup pour l'aide...

salwa5 · Answer

fait ceci dans l'ordre 


Télécharge la nouvelle version d' ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Clique sur le bouton Descargar Elibagla.
Cela va télécharger le fichier ; place-le sur ton bureau.
Double-clique dessus pour l'ouvrir
Assures-toi que dans le menu déroulant Unidad, tu as bien C:\
Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente
est bien cochée !

Clique sur le bouton Explorar pour lancer l'analyse.

Le rapport est disponible sur disque dur C:\InfoSat 


telecharge combofix : Renomme le avant de l'installer en abcd voici un bon tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. 

a++

[Virus] Infecté impossible d'installer un ant - Page 2

Discussions similaires

Newsletters