Infecté par bagle.hg (beagle) - wintems.exe
vodki
Messages postés
3
Statut
Membre
-
JackAttack -
JackAttack -
Bonjour,
voilà quelques jours que je suis infecté et que je n'arrive pas à me débarrasser d'un virus qui me semble assez coriace.
ce que j'ai observé :
- il me désactive les principaux antivirus et firewalls (en supprimant leurs fichiers, en tuant leurs processus et en retirant certaines clés registre) (essayé avast, bitdefender, spybot)
- J'ai essayé avec Avast, après l'installation, dès que l'on tente d'accéder aux fichiers, ils sont supprimés. Si, à l'installation tjrs, on choisit de planifier un scan et de redémarrer directement, celui ci ne s'exécute pas.
- J'ai utilisé des antivirus online (7 ou 8 environ). Peu d'entre eux trouvent des résultats et les autres ne sont pas d'accords sur le nom du virus. Certains plantent même.
- il ouvre une porte dérobée sur un port aléatoire
- il télécharge des trojans ou je ne sais pas quoi dans c:\windows\exefld\ et leur donne un nom du genre 23134289.exe
- le nom de son processus est wintems.exe au début il y avait un fichier dans system32. je l'ai supprimé mais le processus tourne toujours et parfois il est meme impossible de le supprimer (avec le gestionnaire de tâches ou processxp par exemple)
- il crée des entrées de registre dans HKEY_CURRENT_USER\Softwaire\DateTime4. Si je les supprime elles reviennent après redémarrage (même si le processus wintems.exe a été tué)
Voilà, à part ça je ne sais pas quoi faire, si vous pouvez m'aider ça serait vraiment sympa.
Je vous montre mon log hijack si ça peut servir :
Logfile of HijackThis v1.99.1
Scan saved at 17:21:08, on 22.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AutoMate 6\AMTS.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\regedit.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Progs\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Logitech\WebColct\WebColct.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.logitech.com/index.cfm/products/videoeffects/videoeffectlisting/CH/FR,CRID=2366,effecttype=10347,PID=08cb0005,ad=QuickCam,version=10-0-0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoMate 6 (AutoMate6) - Network Automation, Inc. - C:\Program Files\AutoMate 6\AMTS.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: wampapache - Unknown owner - C:\Program Files\wamp\apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - C:\Program Files\wamp\mysql\bin\mysqld-nt.exe" "--defaults-file=C:\Program Files\wamp\mysql\my.ini" wampmysqld (file missing)
Merci d'avance !
voilà quelques jours que je suis infecté et que je n'arrive pas à me débarrasser d'un virus qui me semble assez coriace.
ce que j'ai observé :
- il me désactive les principaux antivirus et firewalls (en supprimant leurs fichiers, en tuant leurs processus et en retirant certaines clés registre) (essayé avast, bitdefender, spybot)
- J'ai essayé avec Avast, après l'installation, dès que l'on tente d'accéder aux fichiers, ils sont supprimés. Si, à l'installation tjrs, on choisit de planifier un scan et de redémarrer directement, celui ci ne s'exécute pas.
- J'ai utilisé des antivirus online (7 ou 8 environ). Peu d'entre eux trouvent des résultats et les autres ne sont pas d'accords sur le nom du virus. Certains plantent même.
- il ouvre une porte dérobée sur un port aléatoire
- il télécharge des trojans ou je ne sais pas quoi dans c:\windows\exefld\ et leur donne un nom du genre 23134289.exe
- le nom de son processus est wintems.exe au début il y avait un fichier dans system32. je l'ai supprimé mais le processus tourne toujours et parfois il est meme impossible de le supprimer (avec le gestionnaire de tâches ou processxp par exemple)
- il crée des entrées de registre dans HKEY_CURRENT_USER\Softwaire\DateTime4. Si je les supprime elles reviennent après redémarrage (même si le processus wintems.exe a été tué)
Voilà, à part ça je ne sais pas quoi faire, si vous pouvez m'aider ça serait vraiment sympa.
Je vous montre mon log hijack si ça peut servir :
Logfile of HijackThis v1.99.1
Scan saved at 17:21:08, on 22.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AutoMate 6\AMTS.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\regedit.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Progs\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Logitech\WebColct\WebColct.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.logitech.com/index.cfm/products/videoeffects/videoeffectlisting/CH/FR,CRID=2366,effecttype=10347,PID=08cb0005,ad=QuickCam,version=10-0-0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AutoMate 6 (AutoMate6) - Network Automation, Inc. - C:\Program Files\AutoMate 6\AMTS.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: wampapache - Unknown owner - C:\Program Files\wamp\apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - C:\Program Files\wamp\mysql\bin\mysqld-nt.exe" "--defaults-file=C:\Program Files\wamp\mysql\my.ini" wampmysqld (file missing)
Merci d'avance !
A voir également:
- Infecté par bagle.hg (beagle) - wintems.exe
- Alerte windows ordinateur infecté - Accueil - Arnaque
- L'ordinateur de simon a été infecté par un virus répertorié récemment ✓ - Forum Virus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Virus
- Mustapha - Forum Windows
- L'ordinateur de samantha a ete infecte par un virus - Forum Virus
5 réponses
slt,
Télécharges smitfraudfix:(merci a S!RI pour ce programme)
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisis l option 1
cela vas générer un rapport,copie/colle le.
a+
Télécharges smitfraudfix:(merci a S!RI pour ce programme)
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisis l option 1
cela vas générer un rapport,copie/colle le.
a+
Merci, j'avais entendu parler du prog, fodra ke j'essaie le nettoyage un jour. Le rapport ne m'aide pas bcp, je ne sais pas si c le cas pour toi :
SmitFraudFix v2.133
Rapport fait à 20:58:18.90, 22.01.2007
Executé à partir de C:\Documents and Settings\Alex\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Alex\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Merci encore !
SmitFraudFix v2.133
Rapport fait à 20:58:18.90, 22.01.2007
Executé à partir de C:\Documents and Settings\Alex\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alex\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Alex\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Merci encore !
Re,
Ok tu peux jeter smitfraudfix il est propre;
Ton log hijack ne montre pas d'infection a première vue. :)
Regarde bien et applique ce qui est indiqué en gras
==================================
Télécharge et installe ce log :
* AVG AS
AVG anti spyware
https://www.01net.com/telecharger/
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
->Relance AVG AS -> "Analyse" ->"Paramètres"
Sous la question "Comment réagir ?" :
-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur "Appliquer toutes les actions "
->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".
->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
a+
Ok tu peux jeter smitfraudfix il est propre;
Ton log hijack ne montre pas d'infection a première vue. :)
Regarde bien et applique ce qui est indiqué en gras
==================================
Télécharge et installe ce log :
* AVG AS
AVG anti spyware
https://www.01net.com/telecharger/
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
->Relance AVG AS -> "Analyse" ->"Paramètres"
Sous la question "Comment réagir ?" :
-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur "Appliquer toutes les actions "
->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".
->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
a+
Je te remercie de t'être intéressé et d'avoir répondu avec tant de rapidité mais finalement j'ai abandonné... AVG ne veut pas télécharger les mises à jour je ne sais pas pourquoi, peut-être le virus qui bloque...
Enfin voilà ça fait bientot l'équivalent d'une 10aine d'h que je suis dessus, alors j'ai décidé de formater ça prendra moins de temps.
Je sais c'est lâche :-) mais tant pis.
Encore merci pour tout a+ !
Enfin voilà ça fait bientot l'équivalent d'une 10aine d'h que je suis dessus, alors j'ai décidé de formater ça prendra moins de temps.
Je sais c'est lâche :-) mais tant pis.
Encore merci pour tout a+ !
Ne formate pas !
Télécharge Blacklight (de F-Secure):
https://www.f-secure.com/en
En bas de la page qui s'affiche clique sur "I accept".
Sur la nouvelle page qui s'affiche cliques sur le lien :
"Download Blacklight Beta Graphical user interface version",
la fenêtre s'ouvre pour l'enregistrement, enregistre le sur ton bureau.
Quitte la fenêtre .
* Maintenant l'icone blbeta.exe doit être présent sur ton bureau
-> double clic dessus, coche "I accept the agreement"
-> clique [next] -> clique [scan]
Laisse le scanner.
Lorsque le scan est fini clique sur [next] -> [exit]
Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Double clic dessus et copie et colle le contenu de ce rapport STP.
a+
Télécharge Blacklight (de F-Secure):
https://www.f-secure.com/en
En bas de la page qui s'affiche clique sur "I accept".
Sur la nouvelle page qui s'affiche cliques sur le lien :
"Download Blacklight Beta Graphical user interface version",
la fenêtre s'ouvre pour l'enregistrement, enregistre le sur ton bureau.
Quitte la fenêtre .
* Maintenant l'icone blbeta.exe doit être présent sur ton bureau
-> double clic dessus, coche "I accept the agreement"
-> clique [next] -> clique [scan]
Laisse le scanner.
Lorsque le scan est fini clique sur [next] -> [exit]
Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Double clic dessus et copie et colle le contenu de ce rapport STP.
a+
Salut, j'ai le même problème que "Vodki, alors j'ai suivi ton conseil, et voici le rapport de blbeta.exe
Merci d'avance pour ton aide! C'est la memerde!
a+
02/15/07 21:28:27 [Info]: BlackLight Engine 1.0.55 initialized
02/15/07 21:28:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/07 21:28:30 [Note]: 7019 4
02/15/07 21:28:30 [Note]: 7005 0
02/15/07 21:28:35 [Note]: 7006 0
02/15/07 21:28:35 [Note]: 7011 3312
02/15/07 21:28:35 [Note]: 7026 0
02/15/07 21:28:35 [Note]: 7026 0
02/15/07 21:28:35 [Note]: 7024 3
02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/15/07 21:28:35 [Note]: 7024 3
02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/15/07 21:28:35 [Note]: 7024 3
02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/15/07 21:28:47 [Note]: FSRAW library version 1.7.1021
02/15/07 21:28:52 [Info]: Hidden file: c:\Documents and Settings\CHEMIN\Application Data\hidires\hidr.exe
02/15/07 21:28:52 [Note]: 10002 2
02/15/07 21:28:52 [Info]: Hidden file: c:\Documents and Settings\CHEMIN\Application Data\hidires\m_hook.sys
02/15/07 21:28:52 [Note]: 10002 2
02/15/07 21:28:53 [Note]: 10002 3
02/15/07 21:28:53 [Note]: 10002 3
02/15/07 21:28:53 [Note]: 10002 2
02/15/07 21:28:53 [Note]: 10002 2
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Note]: 10002 2
02/15/07 21:32:28 [Note]: 10002 2
02/15/07 21:38:26 [Note]: 10002 2
02/15/07 21:38:26 [Note]: 10002 2
02/15/07 21:39:18 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
02/15/07 21:39:18 [Note]: 10002 2
02/15/07 21:43:35 [Note]: 7007 0
Merci d'avance pour ton aide! C'est la memerde!
a+
02/15/07 21:28:27 [Info]: BlackLight Engine 1.0.55 initialized
02/15/07 21:28:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/15/07 21:28:30 [Note]: 7019 4
02/15/07 21:28:30 [Note]: 7005 0
02/15/07 21:28:35 [Note]: 7006 0
02/15/07 21:28:35 [Note]: 7011 3312
02/15/07 21:28:35 [Note]: 7026 0
02/15/07 21:28:35 [Note]: 7026 0
02/15/07 21:28:35 [Note]: 7024 3
02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/15/07 21:28:35 [Note]: 7024 3
02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/15/07 21:28:35 [Note]: 7024 3
02/15/07 21:28:35 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/15/07 21:28:47 [Note]: FSRAW library version 1.7.1021
02/15/07 21:28:52 [Info]: Hidden file: c:\Documents and Settings\CHEMIN\Application Data\hidires\hidr.exe
02/15/07 21:28:52 [Note]: 10002 2
02/15/07 21:28:52 [Info]: Hidden file: c:\Documents and Settings\CHEMIN\Application Data\hidires\m_hook.sys
02/15/07 21:28:52 [Note]: 10002 2
02/15/07 21:28:53 [Note]: 10002 3
02/15/07 21:28:53 [Note]: 10002 3
02/15/07 21:28:53 [Note]: 10002 2
02/15/07 21:28:53 [Note]: 10002 2
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
02/15/07 21:32:28 [Note]: 10002 3
02/15/07 21:32:28 [Note]: 10002 2
02/15/07 21:32:28 [Note]: 10002 2
02/15/07 21:38:26 [Note]: 10002 2
02/15/07 21:38:26 [Note]: 10002 2
02/15/07 21:39:18 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
02/15/07 21:39:18 [Note]: 10002 2
02/15/07 21:43:35 [Note]: 7007 0
je vois que personne n'a trouver de solution contre ce virus ! j'ai également le même problème et j'ai essayé beaucoup de solution donné ici et la !
si quelqu'un a trouvé un anti virus capable de éradiqué cette saloperie merci de faire partagé !
si quelqu'un a trouvé un anti virus capable de éradiqué cette saloperie merci de faire partagé !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Toujours pas de solution,
Sur mon ordinateur:
je confirme que c'est le virus bagle qui bloque le fonctionnement d' AVG et toutes les mises à jour de tous les programmes (y comprus windows update)
il bloque également l'installation d' Avira Antivri Personal
il bloque également Kaspersky Online Scanner (!)
GMER ne l'a pas identifié (!)
Enfin c'est Panda Online ActiveScan qui l'a trouvé (à peu près 2 heures...) Bravo Panda!
ensuite (reboot) j'ai pu installer Avira Antivir, quiest en trian de scanner, mais il semble que bagle crée des fichiers .exe infectés au fur et à mesure du scan...
Sur mon ordinateur:
je confirme que c'est le virus bagle qui bloque le fonctionnement d' AVG et toutes les mises à jour de tous les programmes (y comprus windows update)
il bloque également l'installation d' Avira Antivri Personal
il bloque également Kaspersky Online Scanner (!)
GMER ne l'a pas identifié (!)
Enfin c'est Panda Online ActiveScan qui l'a trouvé (à peu près 2 heures...) Bravo Panda!
ensuite (reboot) j'ai pu installer Avira Antivir, quiest en trian de scanner, mais il semble que bagle crée des fichiers .exe infectés au fur et à mesure du scan...
