Infecté par le virus BAGLE
esmi85
Messages postés
30
Statut
Membre
-
afideg -
afideg -
Je suis infecté par le virus Bagle.
J'ia telechargé le fichier suivant Elibagla.exe et le rapport final m'a indiqué que j'etais infecté par :
Wintems.exe.Vir>Bagle.
Quelle procédure je dois suivre pour m'en debarasser ?
Merci d'avance por votre aide.
J'ia telechargé le fichier suivant Elibagla.exe et le rapport final m'a indiqué que j'etais infecté par :
Wintems.exe.Vir>Bagle.
Quelle procédure je dois suivre pour m'en debarasser ?
Merci d'avance por votre aide.
Configuration: Windows XP Internet Explorer 7.0
A voir également:
- Infecté par le virus BAGLE
- Virus mcafee - Accueil - Piratage
- Impossible de terminer l'opération car le fichier contient un virus ✓ - Forum Virus
- Comment détruire un virus informatique - Guide
- Powershell.exe virus - Guide
- Filezilla virus ✓ - Forum Virus
61 réponses
- 1
- 2
- 3
- 4
Suivant
Résumé de la discussion
Infection par le virus Bagle et détection de Wintems.exe.Vir>Bagle, avec une demande de procédure fiable pour s'en débarrasser et éviter la propagation au système et aux données. Plusieurs répondants recommandent d'exécuter un scan en ligne avec Kaspersky, en activant les contrôles ActiveX, puis d’analyser le poste et de copier le rapport final, et si la licence est périmée, recommencer l’opération. D'autres conseils portent sur la désactivation puis la réactivation de la restauration système et sur la vérification des symptômes comme les pop-ups ou la désactivation d'Avast. Un rapport technique évoque des traces telles que des processus ou fichiers cachés (par exemple hidr.exe et HIDR.EXE.VIR) et souligne l’intérêt d’un contrôle complet du système pour éviter les résidus.
Bonjour,
Bon tu vas télécharger hijackthis (de malekal) http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html
Tu l'installe dans un dossier dédié
Ensuite tu le renomme en "Scanner.exe"
Puis tu l'execute et tu clique sur "Do a system scan and save a logfile" Et tu copie-colle le rapport ici
Bon tu vas télécharger hijackthis (de malekal) http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html
Tu l'installe dans un dossier dédié
Ensuite tu le renomme en "Scanner.exe"
Puis tu l'execute et tu clique sur "Do a system scan and save a logfile" Et tu copie-colle le rapport ici
bonsoir comment as tu procedé avec elibagla.exe?
Va sur ce site, et telecharge la dernier verion ici
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à telecharger,
clique surescargar Elibagla 10.25
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case
"eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera
dans c:\infosat.txt
a+++
Va sur ce site, et telecharge la dernier verion ici
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à telecharger,
clique surescargar Elibagla 10.25
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case
"eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera
dans c:\infosat.txt
a+++
Voila le message hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20:56:51, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\esmi\Bureau\Scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\esmi\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Merci de vos reponses
Logfile of HijackThis v1.99.1
Scan saved at 20:56:51, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\esmi\Bureau\Scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\esmi\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Merci de vos reponses
Re,
Bon on va vraiment voir si c'est bagle.
Télécharger Blacklight (F-Secure) : https://www.f-secure.com/en
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
Bon on va vraiment voir si c'est bagle.
Télécharger Blacklight (F-Secure) : https://www.f-secure.com/en
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai suivi votre procedure et voila le rapport:
03/08/07 21:15:03 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 21:15:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 21:15:03 [Note]: 7019 4
03/08/07 21:15:03 [Note]: 7005 0
03/08/07 21:15:08 [Note]: 7006 0
03/08/07 21:15:08 [Note]: 7011 1336
03/08/07 21:15:09 [Note]: 7026 0
03/08/07 21:15:09 [Note]: 7026 0
03/08/07 21:15:09 [Note]: 7024 3
03/08/07 21:15:09 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 21:15:18 [Note]: FSRAW library version 1.7.1021
03/08/07 21:15:22 [Info]: Hidden file: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 21:15:22 [Note]: 10002 2
03/08/07 21:15:22 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\m_hook.sys
03/08/07 21:15:22 [Note]: 10002 2
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Note]: 10002 2
03/08/07 21:15:23 [Note]: 10002 2
Merci d'avance pour votre reponse
03/08/07 21:15:03 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 21:15:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 21:15:03 [Note]: 7019 4
03/08/07 21:15:03 [Note]: 7005 0
03/08/07 21:15:08 [Note]: 7006 0
03/08/07 21:15:08 [Note]: 7011 1336
03/08/07 21:15:09 [Note]: 7026 0
03/08/07 21:15:09 [Note]: 7026 0
03/08/07 21:15:09 [Note]: 7024 3
03/08/07 21:15:09 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 21:15:18 [Note]: FSRAW library version 1.7.1021
03/08/07 21:15:22 [Info]: Hidden file: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 21:15:22 [Note]: 10002 2
03/08/07 21:15:22 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\m_hook.sys
03/08/07 21:15:22 [Note]: 10002 2
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Note]: 10002 2
03/08/07 21:15:23 [Note]: 10002 2
Merci d'avance pour votre reponse
Re ,
Ton ami bagle est bien là
Donc telecharge ELIBAGLA (mais je sais pas si tu as la bonne version donc je te donne le lien quand meme )
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
suis ces procédures :
Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
Double-clique dessus pour l'ouvrir.
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.
Poste le rapport dans ton prochain post
Aide sur la supression de Bagle : http://www.malekal.com//W32.Beagle.KF_Trojan.Tooso.R.php
Ton ami bagle est bien là
Donc telecharge ELIBAGLA (mais je sais pas si tu as la bonne version donc je te donne le lien quand meme )
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
suis ces procédures :
Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
Double-clique dessus pour l'ouvrir.
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.
Poste le rapport dans ton prochain post
Aide sur la supression de Bagle : http://www.malekal.com//W32.Beagle.KF_Trojan.Tooso.R.php
J'ai suivi la procedure et voila le rapport généré dans la fenetre
Wintems.exe.Vir>Bagle
Merci de votre aide
Wintems.exe.Vir>Bagle
Merci de votre aide
C'est le rapport blacklignt de tout à l'heure ou un nouveau rapport après qu j'ai efffectué la procédure ELIBAGLA .
Merci de votre reponse
Merci de votre reponse
Voila le rapport après ELIBAGLA :
03/08/07 22:20:55 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 22:20:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 22:20:56 [Note]: 7019 4
03/08/07 22:20:56 [Note]: 7005 0
03/08/07 22:21:05 [Note]: 7006 0
03/08/07 22:21:05 [Note]: 7011 1336
03/08/07 22:21:05 [Note]: 7026 0
03/08/07 22:21:06 [Note]: 7026 0
03/08/07 22:21:06 [Note]: 7024 3
03/08/07 22:21:06 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 22:21:15 [Note]: FSRAW library version 1.7.1021
03/08/07 22:21:19 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
03/08/07 22:21:19 [Note]: 10002 3
03/08/07 22:21:19 [Note]: 10002 2
03/08/07 22:21:19 [Note]: 10002 2
Merci de votre aide.
03/08/07 22:20:55 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 22:20:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 22:20:56 [Note]: 7019 4
03/08/07 22:20:56 [Note]: 7005 0
03/08/07 22:21:05 [Note]: 7006 0
03/08/07 22:21:05 [Note]: 7011 1336
03/08/07 22:21:05 [Note]: 7026 0
03/08/07 22:21:06 [Note]: 7026 0
03/08/07 22:21:06 [Note]: 7024 3
03/08/07 22:21:06 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 22:21:15 [Note]: FSRAW library version 1.7.1021
03/08/07 22:21:19 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
03/08/07 22:21:19 [Note]: 10002 3
03/08/07 22:21:19 [Note]: 10002 2
03/08/07 22:21:19 [Note]: 10002 2
Merci de votre aide.
Re,
C'est encore la
Supprime manuellement ces fichiers :
c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
Puis repost un log hijackthis
C'est encore la
Supprime manuellement ces fichiers :
c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
Puis repost un log hijackthis
bonsoir essay ceci :
telecharge the killbox
http://www.downloads.subratam.org/KillBox.exe
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
- Dans "Full Path of File to Delete"
copie et colle:
C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.
tu fait pareil avec ces fichiers
c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
ensuite post un nouveau raport blacklight
a+++
telecharge the killbox
http://www.downloads.subratam.org/KillBox.exe
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
- Dans "Full Path of File to Delete"
copie et colle:
C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.
tu fait pareil avec ces fichiers
c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
ensuite post un nouveau raport blacklight
a+++
KIll box ce n'est pas pour supprimer les processus ???
CAr sinon j'aurais deja utilisé sa depuis longtemps
CAr sinon j'aurais deja utilisé sa depuis longtemps
J'ai un souci
Car je trouve que le debut
C:/Documents and settings/esmi Application Data et après je ne trouve pas la suite ?
Comment faire pour les trouver ? ou est ce normal de ne pas les trouver.
Merci de votre aide
Car je trouve que le debut
C:/Documents and settings/esmi Application Data et après je ne trouve pas la suite ?
Comment faire pour les trouver ? ou est ce normal de ne pas les trouver.
Merci de votre aide
Re,
J'ai trouvé en fait tu as mis sa : HIDR.EXE.VIR au lieu de mettre sa HIDR.EXE ou sa HIDR.VIR
Reessaye
J'ai trouvé en fait tu as mis sa : HIDR.EXE.VIR au lieu de mettre sa HIDR.EXE ou sa HIDR.VIR
Reessaye
bonsoir , the killbox sert a supprimé les fichiers recalcitrants
il a aussi une option pour terminer les processus (exactement comme le gestionaire des taches)
a+++++
il a aussi une option pour terminer les processus (exactement comme le gestionaire des taches)
a+++++
- 1
- 2
- 3
- 4
Suivant
