Infecté par win32.bagle.HW@mm
kantin7
Messages postés
9
Statut
Membre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour c'est la premiere fois que j'ecris dans un forum, mais je connais le principe et en consulte a chaque fois que survient un probleme sur mon ordi, alors excusez si je manque des trucs...
Voila mon probleme :
il semblerait que je sois infecté par win32.bagle.HW(ou HU)@mm , qui comme vous le savez surement m'empeche d'installer un antivirus, démarrer en mode sans echec et d'autres...
J'ai effectué un test antivirus sur bitdefendre en ligne, analysé et supprimé les erreurs et cookies sur ccleaner, tenté une analyse avg Anti spyware, ça revient, toujours...
Bitdefender l'a apparement erradiqué, mais je ne peux toujours pas installer d'antivirus.
Je fais actuellement un nettoyage grace a fixtools for bagle.X de trendmicro, sysclean je crois...
J'ai enormement besoin de mon ordi en ce moment pour des boulots a rendre ds la semaine.... Aidez moi SVP!!
Voila mon probleme :
il semblerait que je sois infecté par win32.bagle.HW(ou HU)@mm , qui comme vous le savez surement m'empeche d'installer un antivirus, démarrer en mode sans echec et d'autres...
J'ai effectué un test antivirus sur bitdefendre en ligne, analysé et supprimé les erreurs et cookies sur ccleaner, tenté une analyse avg Anti spyware, ça revient, toujours...
Bitdefender l'a apparement erradiqué, mais je ne peux toujours pas installer d'antivirus.
Je fais actuellement un nettoyage grace a fixtools for bagle.X de trendmicro, sysclean je crois...
J'ai enormement besoin de mon ordi en ce moment pour des boulots a rendre ds la semaine.... Aidez moi SVP!!
A voir également:
- Infecté par win32.bagle.HW@mm
- Trojan win32 - Forum Virus
- Puadimanager win32/offercore ✓ - Forum Virus
- Puabundler win32 rostpay ✓ - Forum Antivirus
- PUA:Win32/InstallCore detecté par windows sécurité ✓ - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
19 réponses
bonjour
Télécharge Blacklight (de F-Secure)
https://www.f-secure.com/en
https://europe.f-secure.com/exclude/blacklight/index.shtml
et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse
a+++
Télécharge Blacklight (de F-Secure)
https://www.f-secure.com/en
https://europe.f-secure.com/exclude/blacklight/index.shtml
et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse
a+++
Voila? Alors docteur, c'est grave???
le premier
02/13/07 20:58:09 [Info]: BlackLight Engine 1.0.55 initialized
02/13/07 20:58:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/13/07 20:58:09 [Note]: 7019 4
02/13/07 20:58:09 [Note]: 7005 0
02/13/07 20:58:38 [Note]: 7006 0
02/13/07 20:58:38 [Note]: 7011 456
02/13/07 20:58:38 [Note]: 7026 0
02/13/07 20:58:38 [Note]: 7026 0
02/13/07 20:58:38 [Note]: 7024 3
02/13/07 20:58:38 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 20:58:38 [Note]: 7024 3
02/13/07 20:58:38 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 20:58:45 [Note]: FSRAW library version 1.7.1021
02/13/07 20:59:22 [Info]: Hidden file: d:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
02/13/07 20:59:22 [Note]: 10002 2
02/13/07 20:59:22 [Info]: Hidden file: d:\Documents and Settings\Kantin\Application Data\hidires\m_hook.sys
02/13/07 20:59:22 [Note]: 10002 2
02/13/07 20:59:23 [Note]: 10002 3
02/13/07 20:59:23 [Note]: 10002 3
02/13/07 20:59:23 [Note]: 10002 2
02/13/07 20:59:23 [Note]: 10002 2
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\empty.txt
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\filters.xml
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\news.png
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\paint.png
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\profiles\blank.txt
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\sample1.jpg
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\sample2.jpg
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Note]: 10002 2
02/13/07 20:59:40 [Note]: 10002 2
02/13/07 21:01:17 [Note]: 10002 2
02/13/07 21:01:17 [Note]: 10002 2
02/13/07 21:01:36 [Info]: Hidden file: d:\WINDOWS\system32\wintems.exe
02/13/07 21:01:36 [Note]: 10002 2
02/13/07 21:01:36 [Info]: Hidden file: D:\WINDOWS\system32\hldrrr.exe
02/13/07 21:01:36 [Note]: 10002 2
02/13/07 21:03:17 [Note]: 7007 0
le second
02/13/07 21:03:27 [Info]: BlackLight Engine 1.0.55 initialized
02/13/07 21:03:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/13/07 21:03:27 [Note]: 7019 4
02/13/07 21:03:27 [Note]: 7005 0
02/13/07 21:03:29 [Note]: 7006 0
02/13/07 21:03:29 [Note]: 7011 456
02/13/07 21:03:29 [Note]: 7026 0
02/13/07 21:03:29 [Note]: 7026 0
02/13/07 21:03:29 [Note]: 7024 3
02/13/07 21:03:29 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 21:03:29 [Note]: 7024 3
02/13/07 21:03:29 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 21:03:33 [Note]: FSRAW library version 1.7.1021
02/13/07 21:04:10 [Note]: 7007 0
Et maintenant comment supprimer ce hldrrr.exe????
le premier
02/13/07 20:58:09 [Info]: BlackLight Engine 1.0.55 initialized
02/13/07 20:58:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/13/07 20:58:09 [Note]: 7019 4
02/13/07 20:58:09 [Note]: 7005 0
02/13/07 20:58:38 [Note]: 7006 0
02/13/07 20:58:38 [Note]: 7011 456
02/13/07 20:58:38 [Note]: 7026 0
02/13/07 20:58:38 [Note]: 7026 0
02/13/07 20:58:38 [Note]: 7024 3
02/13/07 20:58:38 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 20:58:38 [Note]: 7024 3
02/13/07 20:58:38 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 20:58:45 [Note]: FSRAW library version 1.7.1021
02/13/07 20:59:22 [Info]: Hidden file: d:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
02/13/07 20:59:22 [Note]: 10002 2
02/13/07 20:59:22 [Info]: Hidden file: d:\Documents and Settings\Kantin\Application Data\hidires\m_hook.sys
02/13/07 20:59:22 [Note]: 10002 2
02/13/07 20:59:23 [Note]: 10002 3
02/13/07 20:59:23 [Note]: 10002 3
02/13/07 20:59:23 [Note]: 10002 2
02/13/07 20:59:23 [Note]: 10002 2
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\empty.txt
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\filters.xml
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\news.png
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\paint.png
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\profiles\blank.txt
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\sample1.jpg
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Info]: Hidden file: d:\Program Files\Movie Maker\shared\sample2.jpg
02/13/07 20:59:40 [Note]: 10002 3
02/13/07 20:59:40 [Note]: 10002 2
02/13/07 20:59:40 [Note]: 10002 2
02/13/07 21:01:17 [Note]: 10002 2
02/13/07 21:01:17 [Note]: 10002 2
02/13/07 21:01:36 [Info]: Hidden file: d:\WINDOWS\system32\wintems.exe
02/13/07 21:01:36 [Note]: 10002 2
02/13/07 21:01:36 [Info]: Hidden file: D:\WINDOWS\system32\hldrrr.exe
02/13/07 21:01:36 [Note]: 10002 2
02/13/07 21:03:17 [Note]: 7007 0
le second
02/13/07 21:03:27 [Info]: BlackLight Engine 1.0.55 initialized
02/13/07 21:03:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/13/07 21:03:27 [Note]: 7019 4
02/13/07 21:03:27 [Note]: 7005 0
02/13/07 21:03:29 [Note]: 7006 0
02/13/07 21:03:29 [Note]: 7011 456
02/13/07 21:03:29 [Note]: 7026 0
02/13/07 21:03:29 [Note]: 7026 0
02/13/07 21:03:29 [Note]: 7024 3
02/13/07 21:03:29 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 21:03:29 [Note]: 7024 3
02/13/07 21:03:29 [Info]: Hidden process: D:\WINDOWS\system32\hldrrr.exe
02/13/07 21:03:33 [Note]: FSRAW library version 1.7.1021
02/13/07 21:04:10 [Note]: 7007 0
Et maintenant comment supprimer ce hldrrr.exe????
bonjour pourquoi il y'a 2 raport blacklight?
telecharge the killbox
http://www.downloads.subratam.org/KillBox.exe
1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)
2.Double clic sur killbox.exe (Pocket Killbox)
- Dans "Full Path of File to Delete"
copie et colle:
d:\WINDOWS\system32\hldrrr.exe
-clique sur single file
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
tu fait pareil avec ces fichiers :
d:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
d:\Documents and Settings\Kantin\Application Data\hidires\m_hook.sys
d:\WINDOWS\system32\wintems.exe
3.ensuite va dans post de travail / lecteur C: cherche et supprime le dossier nommée : !KillBox
ce dossier contien tout les virus que t'as supprimé avec the kill box
4.vide la corbeille
redemare en mode normal refait un scan blacklight et colle le resultat ici
a+++
telecharge the killbox
http://www.downloads.subratam.org/KillBox.exe
1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)
2.Double clic sur killbox.exe (Pocket Killbox)
- Dans "Full Path of File to Delete"
copie et colle:
d:\WINDOWS\system32\hldrrr.exe
-clique sur single file
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
tu fait pareil avec ces fichiers :
d:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
d:\Documents and Settings\Kantin\Application Data\hidires\m_hook.sys
d:\WINDOWS\system32\wintems.exe
3.ensuite va dans post de travail / lecteur C: cherche et supprime le dossier nommée : !KillBox
ce dossier contien tout les virus que t'as supprimé avec the kill box
4.vide la corbeille
redemare en mode normal refait un scan blacklight et colle le resultat ici
a+++
Impossible de redemarrer en mode sans echec, le virus bloque apparement le systeme et le reboote au demarrage du mode sans echecs, ce qui fait que je reviens sans arrets sur la page de selection des modes de demarrage...
Ah et si j'avais deux fichiers log, c parce que j'ai fait deux scans, et au deuxieme je me suis rendu compte kun fichier log avait déjà été crée, sorry ;-)
J'ai tout de meme essayé killbox en mode normal, il m'a tout supprimé -enfin plutot déplacé ds le dossier !killbox- mis a part hldrrr.exe, et impossible de supprimer le dossier killbox :"le repertoirre n'est pas vide"
un grand merci pour ta précieuse aide, en esperant qu'elle mettra hors de nuire cette petite pourriture qui nuit à mon ordi....
J'attends ta réponse avec impatience.
Ah et si j'avais deux fichiers log, c parce que j'ai fait deux scans, et au deuxieme je me suis rendu compte kun fichier log avait déjà été crée, sorry ;-)
J'ai tout de meme essayé killbox en mode normal, il m'a tout supprimé -enfin plutot déplacé ds le dossier !killbox- mis a part hldrrr.exe, et impossible de supprimer le dossier killbox :"le repertoirre n'est pas vide"
un grand merci pour ta précieuse aide, en esperant qu'elle mettra hors de nuire cette petite pourriture qui nuit à mon ordi....
J'attends ta réponse avec impatience.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok redemare l'ordi et essay de supprimer le dossier !KillBox puis vide la corbeille
normalement maintenant tu peu installer un antivirus , dans un premier temp je te conseiller d'installer la version d'essai de kaspersky car il supprime tres bien le virus bagle
Télécharge la version d'essai de kaspersky ici :
https://www.kaspersky.fr/downloads?chapter=186498689
tutorial a suivre i (merci Malekal_morte) :
https://www.malekal.com/tutorial-kaspersky-trial/
Imprime ces instructions pour ne rien oublié
Après l'installation, lors de la configuration via l'assistant :
- désactive ou desinstalle avast sinon il va y'avoir un conflit
- Active la version d'évaluation des licences de 30 jours
- Lance une mise à jour automatique
- Active la protection de base
**Ne lance pas le scan tout de suite**
Redémarre en Sans Échec
- Démarre Kaspersky à partir du Menu Démarrer >> Tous les programmes >> Kaspersky Anti-virus
- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge
- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"
- Le scan de l'ordinateur va démarrer
- Une fois le scan terminé, de preference repare tous les virus trouvé
- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton Bureau.
---------------------------------------------------------
Poste (copie/colle) le rapport de Kaspersky ici
a++++
normalement maintenant tu peu installer un antivirus , dans un premier temp je te conseiller d'installer la version d'essai de kaspersky car il supprime tres bien le virus bagle
Télécharge la version d'essai de kaspersky ici :
https://www.kaspersky.fr/downloads?chapter=186498689
tutorial a suivre i (merci Malekal_morte) :
https://www.malekal.com/tutorial-kaspersky-trial/
Imprime ces instructions pour ne rien oublié
Après l'installation, lors de la configuration via l'assistant :
- désactive ou desinstalle avast sinon il va y'avoir un conflit
- Active la version d'évaluation des licences de 30 jours
- Lance une mise à jour automatique
- Active la protection de base
**Ne lance pas le scan tout de suite**
Redémarre en Sans Échec
- Démarre Kaspersky à partir du Menu Démarrer >> Tous les programmes >> Kaspersky Anti-virus
- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge
- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"
- Le scan de l'ordinateur va démarrer
- Une fois le scan terminé, de preference repare tous les virus trouvé
- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton Bureau.
---------------------------------------------------------
Poste (copie/colle) le rapport de Kaspersky ici
a++++
Plusieurs problemes avant de commencer qd meme, il m'est impossible de redemarrer en mode sans echec, j'ai pas encore relancé la machine et installé kapersky, mais je pense pas pouvoir redémarrer en sans echecs.
Probleme aussi, en essayant de désinstaller avast, je ne peux pas supprimer le fichier "ashShell.dll" , j'ai essayé avec jv16 power tools, avec l'outil "file" et "remove" mais il revient sans arret, j'essaye kapersky et le mode sans echec et jte dis.
Thank U
A tout d'suite pour de nouvelles aventures chocolatées!
Probleme aussi, en essayant de désinstaller avast, je ne peux pas supprimer le fichier "ashShell.dll" , j'ai essayé avec jv16 power tools, avec l'outil "file" et "remove" mais il revient sans arret, j'essaye kapersky et le mode sans echec et jte dis.
Thank U
A tout d'suite pour de nouvelles aventures chocolatées!
attend il vaut mieu desinstaller avast avant d'installer kaspersky sinon il va y'avoir un conflit
utilise ce desinstalateur
http://www.asw.cz/eng/avast-uninstall-utility.html
concernant kaspersky ,utilise le en mode normal c'est mieu :)
a++++
utilise ce desinstalateur
http://www.asw.cz/eng/avast-uninstall-utility.html
concernant kaspersky ,utilise le en mode normal c'est mieu :)
a++++
Je n'arrive toujours pas a redemarrer en sans echec, il bloque au lancement de A347bus.sys et l'ordi redemarre et me relance sur la page de selection entre win xp pro et console de recup xp.
Est-ce que je procede tout de meme au test kapersky??? ou il faut imperativement redemarrer en sans echec, sinon je tourne en rond?
Merci
Est-ce que je procede tout de meme au test kapersky??? ou il faut imperativement redemarrer en sans echec, sinon je tourne en rond?
Merci
ree laisse tombé le mode sans echec , tu peu faire l'analyse en mode normal
pour avast il faut le desinstaller avec l'outil de suppression ( voir mon precedent message)
a+++
pour avast il faut le desinstaller avec l'outil de suppression ( voir mon precedent message)
a+++
ok le test est en cours, j'attends les résultats... Il est bien kapersky, c'est le seul qui a pu etre installé avec le virus : ^^
Autrement que pourrais tu me conseiller comme antivirus, de préférence gratuit stp?
...en attendant la suite...
Autrement que pourrais tu me conseiller comme antivirus, de préférence gratuit stp?
...en attendant la suite...
Il est bien kapersky, c'est le seul qui a pu etre installé avec le virus : ^^
en faites non il a pu s'installer parceque on a supprimer prealablement les rootkits avec the killbox :p
Autrement que pourrais tu me conseiller comme antivirus, de préférence gratuit stp?
je te conseille avast :p
a+++
en faites non il a pu s'installer parceque on a supprimer prealablement les rootkits avec the killbox :p
Autrement que pourrais tu me conseiller comme antivirus, de préférence gratuit stp?
je te conseille avast :p
a+++
Voila pr le rapport kapersky, bonne nuit et a demain pour la suite de la réparation :
Analyse
-------
Analysés : 409056
Infectés : 5
Non traités : 0
Lancement : 14/02/2007 00:20:39
Durée : 02:25:07
Fin : 14/02/2007 02:45:46
Infectés
--------
Etat Objet
---- -----
supprimé : virus Email-Worm.Win32.Bagle.hz Le fichier: D:\Documents and Settings\Kantin\Local Settings\Temp\~1.exe//PE_Patch.PEStubOEP
supprimé : cheval de Troie Trojan-Downloader.Win32.Bagle.br Le fichier: D:\Documents and Settings\Kantin\Local Settings\Temp\~2.exe//PE_Patch.PEStubOEP
supprimé : virus Email-Worm.Win32.Bagle.hw Le fichier: D:\WINDOWS\exefld\15735015.exe//PE_Patch.PEStubOEP
supprimé : virus Email-Worm.Win32.Bagle.hw Le fichier: D:\WINDOWS\exefld\15960046.exe//PE_Patch.PEStubOEP
supprimé : virus Email-Worm.Win32.Bagle.hw Le fichier: D:\WINDOWS\exefld\871234.exe//PE_Patch.PEStubOEP
14/02/2007 02:45:45 Le fichier: d:\windows\exefld\15735015.exe fichier compacté PE_Patch.PEStubOEP
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15735015.exe//PE_Patch.PEStubOEP découverts : virus 'Email-Worm.Win32.Bagle.hw'
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15735015.exe création de la copie de sauvegarde
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15735015.exe supprimé
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe fichier compacté PE_Patch.PEStubOEP
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe//PE_Patch.PEStubOEP découverts : virus 'Email-Worm.Win32.Bagle.hw'
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe création de la copie de sauvegarde
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe supprimé
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe fichier compacté PE_Patch.PEStubOEP
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe//PE_Patch.PEStubOEP découverts : virus 'Email-Worm.Win32.Bagle.hw'
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe création de la copie de sauvegarde
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe supprimé
je mets pas tout car il ya 60Mo de text qui retrace tte larborescence du site, j'ai fait "supprimer" qd kapersky reperait des vers ou virus,
A demain. Merci
Analyse
-------
Analysés : 409056
Infectés : 5
Non traités : 0
Lancement : 14/02/2007 00:20:39
Durée : 02:25:07
Fin : 14/02/2007 02:45:46
Infectés
--------
Etat Objet
---- -----
supprimé : virus Email-Worm.Win32.Bagle.hz Le fichier: D:\Documents and Settings\Kantin\Local Settings\Temp\~1.exe//PE_Patch.PEStubOEP
supprimé : cheval de Troie Trojan-Downloader.Win32.Bagle.br Le fichier: D:\Documents and Settings\Kantin\Local Settings\Temp\~2.exe//PE_Patch.PEStubOEP
supprimé : virus Email-Worm.Win32.Bagle.hw Le fichier: D:\WINDOWS\exefld\15735015.exe//PE_Patch.PEStubOEP
supprimé : virus Email-Worm.Win32.Bagle.hw Le fichier: D:\WINDOWS\exefld\15960046.exe//PE_Patch.PEStubOEP
supprimé : virus Email-Worm.Win32.Bagle.hw Le fichier: D:\WINDOWS\exefld\871234.exe//PE_Patch.PEStubOEP
14/02/2007 02:45:45 Le fichier: d:\windows\exefld\15735015.exe fichier compacté PE_Patch.PEStubOEP
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15735015.exe//PE_Patch.PEStubOEP découverts : virus 'Email-Worm.Win32.Bagle.hw'
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15735015.exe création de la copie de sauvegarde
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15735015.exe supprimé
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe fichier compacté PE_Patch.PEStubOEP
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe//PE_Patch.PEStubOEP découverts : virus 'Email-Worm.Win32.Bagle.hw'
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe création de la copie de sauvegarde
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\15960046.exe supprimé
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe fichier compacté PE_Patch.PEStubOEP
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe//PE_Patch.PEStubOEP découverts : virus 'Email-Worm.Win32.Bagle.hw'
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe création de la copie de sauvegarde
14/02/2007 02:45:46 Le fichier: d:\windows\exefld\871234.exe supprimé
je mets pas tout car il ya 60Mo de text qui retrace tte larborescence du site, j'ai fait "supprimer" qd kapersky reperait des vers ou virus,
A demain. Merci
bonjour le virus a bien été supprimé ... , On continues le netoyage telecharge hijackthis et colle le resultat ici :
http://www.infos-du-net.com/telecharger/HijackThis.html
demo :
http://pageperso.aol.fr/balltrap34/demohijack.htm
a+++++
http://www.infos-du-net.com/telecharger/HijackThis.html
demo :
http://pageperso.aol.fr/balltrap34/demohijack.htm
a+++++
Voila...
Logfile of HijackThis v1.99.1
Scan saved at 17:08:36, on 14/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Kaspersky Lab\avp.exe
C:\programmes\multipass\MPSERVIC.EXE
D:\WINDOWS\system32\slserv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
C:\programmes\multipass\MPTBox.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\programmes\iTunes\iTunesHelper.exe
D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\programmes\AVG Anti-Spyware 7.5\avgas.exe
D:\Program Files\Kaspersky Lab\avp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\programmes\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Program Files\iPod\bin\iPodService.exe
C:\programmes\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Kantin\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\programmes\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\programmes\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\programmes\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MPTBox] C:\programmes\multipass\MPTBox.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] D:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\programmes\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [hldrrr] D:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\programmes\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\avp.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] D:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Configuration de la C-BOX] D:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [drvsyskit] D:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
O4 - HKCU\..\Run: [hldrrr] D:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\programmes\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\programmes\amv converter\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\programmes\amv converter\MediaManager\grab.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\programmes\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\programmes\FlashGet\jc_link.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - D:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MpService - Canon Inc. - C:\programmes\multipass\MPSERVIC.EXE
O23 - Service: RadClock - Unknown owner - D:\WINDOWS\system32\RadClock.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
Est-ce que je peux déjà réinstaller un antivirus??? Ou est-ce qu'il est encore trop tôt????
Dans Hijackthis, faut il aussi que je fasse aussi un 'do system scan only'???
Merci encore pour ton aide!
A +
Logfile of HijackThis v1.99.1
Scan saved at 17:08:36, on 14/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Kaspersky Lab\avp.exe
C:\programmes\multipass\MPSERVIC.EXE
D:\WINDOWS\system32\slserv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
C:\programmes\multipass\MPTBox.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\programmes\iTunes\iTunesHelper.exe
D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\programmes\AVG Anti-Spyware 7.5\avgas.exe
D:\Program Files\Kaspersky Lab\avp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\programmes\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Program Files\iPod\bin\iPodService.exe
C:\programmes\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Kantin\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\programmes\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\programmes\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\programmes\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MPTBox] C:\programmes\multipass\MPTBox.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] D:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\programmes\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [hldrrr] D:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\programmes\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\avp.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] D:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Configuration de la C-BOX] D:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [drvsyskit] D:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
O4 - HKCU\..\Run: [hldrrr] D:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\programmes\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\programmes\amv converter\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\programmes\amv converter\MediaManager\grab.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\programmes\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\programmes\FlashGet\jc_link.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - D:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MpService - Canon Inc. - C:\programmes\multipass\MPSERVIC.EXE
O23 - Service: RadClock - Unknown owner - D:\WINDOWS\system32\RadClock.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
Est-ce que je peux déjà réinstaller un antivirus??? Ou est-ce qu'il est encore trop tôt????
Dans Hijackthis, faut il aussi que je fasse aussi un 'do system scan only'???
Merci encore pour ton aide!
A +
oui tu peu desinstaller kaspersky et installe l'antivirus que tu veut :)
installes un parefeu pour empecher les virus de revenir
Kerio (parefeu)
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
tuto
http://www.malekal.com/kerio_firewall.php
bloques les principaux port a risque en suivant les indication de ce site
https://www.vulgarisation-informatique.com/bloquer-ports.php
as tu d'autre dysfonctionement?
a+++
installes un parefeu pour empecher les virus de revenir
Kerio (parefeu)
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
tuto
http://www.malekal.com/kerio_firewall.php
bloques les principaux port a risque en suivant les indication de ce site
https://www.vulgarisation-informatique.com/bloquer-ports.php
as tu d'autre dysfonctionement?
a+++
Merci, j'ai installé avast, mais pas encore le pare feu, je m'y mets, dans le rapport hijack, dans la base de registre il a l'air de rester encore qqes hldrr et wintems... :
O4 - HKCU\..\Run: [drvsyskit] D:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
O4 - HKCU\..\Run: [hldrrr] D:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe
PAs l'air d'avoir trop de bugs pour l'instant....
O4 - HKCU\..\Run: [drvsyskit] D:\Documents and Settings\Kantin\Application Data\hidires\hidr.exe
O4 - HKCU\..\Run: [hldrrr] D:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe
PAs l'air d'avoir trop de bugs pour l'instant....
bonsoir ne t'inquiete pas ce ne sont que des traces rien de grave postes un raport hijacthis pour les supprimer
a+++
a+++
Bonsoir Salwa & kantin7
Puis-je relever ceci :
- #2 « pourquoi il y a 2 rapports blacklight ? » ==> Pas de renseignement ??
- Quel logiciel a détecté le Bagle à l'origine ( le premier ) ? ==> SVP
- #4 « Impossible de redemarrer en mode sans echec, avec ce Bagle » ( c'est confirmé ).
L'internaute a-t-il maintenant accès au mode sans échec ?
Merci
Al.
Puis-je relever ceci :
- #2 « pourquoi il y a 2 rapports blacklight ? » ==> Pas de renseignement ??
- Quel logiciel a détecté le Bagle à l'origine ( le premier ) ? ==> SVP
- #4 « Impossible de redemarrer en mode sans echec, avec ce Bagle » ( c'est confirmé ).
L'internaute a-t-il maintenant accès au mode sans échec ?
Merci
Al.
