Infecté par le virus BAGLE

Question

Je suis infecté par le virus Bagle.
J'ia telechargé le fichier suivant Elibagla.exe et le rapport final m'a indiqué que j'etais infecté par :

Wintems.exe.Vir>Bagle.

Quelle procédure je dois suivre pour m'en debarasser ?

Merci d'avance por votre aide.

Darkkiller · Answer

Bonjour,

Bon tu vas télécharger hijackthis (de malekal) http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html

Tu l'installe dans un dossier dédié

Ensuite tu le renomme en "Scanner.exe"

Puis tu l'execute et tu clique sur "Do a system scan and save a logfile" Et tu copie-colle le rapport ici

salwa5 · Answer

bonsoir comment as tu procedé avec elibagla.exe? 

Va sur ce site, et telecharge la dernier verion ici
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 

tout en bas de cette page tu trouveras un outil 
à telecharger, 
clique surescargar Elibagla 10.25
installe ce fichier sur le bureau. 
ensuite double-clic sur Elibagla.exe 
>laisse la case 
"eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 
>poste le rapport final qui sera 
dans c:\infosat.txt 



a+++

esmi85 · Answer

Voila le message hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20:56:51, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\esmi\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\esmi\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Merci de vos reponses

Darkkiller · Answer

Re,

Bon on va vraiment voir si c'est bagle.

Télécharger Blacklight (F-Secure) : https://www.f-secure.com/en 

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. 
 
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next 
 
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 
 
Copie et colle le contenu de ce rapport dans ta prochaine réponse.

esmi85 · Answer

J'ai suivi votre procedure et voila le rapport:

03/08/07 21:15:03 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 21:15:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 21:15:03 [Note]: 7019 4
03/08/07 21:15:03 [Note]: 7005 0
03/08/07 21:15:08 [Note]: 7006 0
03/08/07 21:15:08 [Note]: 7011 1336
03/08/07 21:15:09 [Note]: 7026 0
03/08/07 21:15:09 [Note]: 7026 0
03/08/07 21:15:09 [Note]: 7024 3
03/08/07 21:15:09 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 21:15:18 [Note]: FSRAW library version 1.7.1021
03/08/07 21:15:22 [Info]: Hidden file: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 21:15:22 [Note]: 10002 2
03/08/07 21:15:22 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\m_hook.sys
03/08/07 21:15:22 [Note]: 10002 2
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Note]: 10002 3
03/08/07 21:15:23 [Note]: 10002 2
03/08/07 21:15:23 [Note]: 10002 2

Merci d'avance pour votre reponse

Darkkiller · Answer

Re ,

Ton ami bagle est bien là 

Donc telecharge ELIBAGLA (mais je sais pas si tu as la bonne version donc je te donne le lien quand meme )
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

suis ces procédures : 

Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau. 
Double-clique dessus pour l'ouvrir. 
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\ 
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée. 
Clique sur le bouton Explorar pour lancer l'analyse. 
Poste le rapport généré en fin fin d'analyse. 

Poste le rapport dans ton prochain post 

Aide sur la supression de Bagle : http://www.malekal.com//W32.Beagle.KF_Trojan.Tooso.R.php

esmi85 · Answer

J'ai suivi la procedure et voila le rapport généré dans la fenetre

Wintems.exe.Vir>Bagle

Merci de votre aide

Darkkiller · Answer

Re,

Poste un nouveau rapport blacklight stp

esmi85 · Answer

C'est le rapport blacklignt de tout à l'heure ou un nouveau rapport après qu j'ai efffectué la procédure ELIBAGLA .

Merci de votre reponse

Darkkiller · Answer

Re,

Un nouveau rapport apres elibagla

esmi85 · Answer

Voila le rapport après ELIBAGLA :

03/08/07 22:20:55 [Info]: BlackLight Engine 1.0.55 initialized
03/08/07 22:20:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/08/07 22:20:56 [Note]: 7019 4
03/08/07 22:20:56 [Note]: 7005 0
03/08/07 22:21:05 [Note]: 7006 0
03/08/07 22:21:05 [Note]: 7011 1336
03/08/07 22:21:05 [Note]: 7026 0
03/08/07 22:21:06 [Note]: 7026 0
03/08/07 22:21:06 [Note]: 7024 3
03/08/07 22:21:06 [Info]: Hidden process: C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe
03/08/07 22:21:15 [Note]: FSRAW library version 1.7.1021
03/08/07 22:21:19 [Info]: Hidden file: c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR
03/08/07 22:21:19 [Note]: 10002 3
03/08/07 22:21:19 [Note]: 10002 2
03/08/07 22:21:19 [Note]: 10002 2

Merci de votre aide.

Darkkiller · Answer

Re,

C'est encore la 
Supprime manuellement ces fichiers : 

c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR 

C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe

Puis repost un log hijackthis

salwa5 · Answer

bonsoir essay ceci :


telecharge the killbox 

http://www.downloads.subratam.org/KillBox.exe 


Double clic sur killbox.exe (Pocket Killbox) 

- coche: delete on reboot: qui veut dire = ( supprimer au demarrage) 
- Dans "Full Path of File to Delete" 
copie et colle: 

C:\Documents and Settings\esmi\Application Data\hidires\hidr.exe 


- clique sur la croix rouge 
- une fenêtre va apparaître pour confirmation de suppression clique sur YES 
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES 

Si ce message s’affiche ignore le : 
http://tinypic.com/images/goodbye.jpg 
Laisse le pc redémarrer ou redemarre manuellement s il le fait pas. 


tu fait pareil avec ces fichiers 

c:\Documents and Settings\esmi\Application Data\hidires\HIDR.EXE.VIR 

ensuite post un nouveau raport blacklight

a+++

Darkkiller · Answer

KIll box ce n'est pas pour supprimer les processus ???

CAr sinon j'aurais deja utilisé sa depuis longtemps

esmi85 · Answer

J'ai un souci

Car je trouve que le debut

C:/Documents and settings/esmi Application Data et après je ne trouve pas la suite ?

Comment faire pour les trouver ? ou est ce normal de ne pas les trouver.

Merci de votre aide

Darkkiller · Answer

Re,

J'ai trouvé en fait tu as mis sa : HIDR.EXE.VIR au lieu de mettre sa HIDR.EXE ou sa HIDR.VIR
Reessaye

salwa5 · Answer

bonsoir , the killbox sert a supprimé les fichiers  recalcitrants 

il a aussi une option pour terminer les processus (exactement comme le gestionaire des taches)

a+++++

Darkkiller · Answer

Re,

Okay merci

esmi85 · Answer

JE ne trouve pas ses fichier du tout ?

Comment faire s'il vous plait pour les trouver ?

Merci de votre aide

Darkkiller · Answer

Re,

Pourrais-tu poster un rapport hijackthis stp

Merci

esmi85 · Answer

Voila un hitjackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23:27:17, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\esmi\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\esmi\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Merci d'avance

Darkkiller · Answer

Re,

Fix cette ligne avec hijackthis :

O4 - Startup: PowerReg Scheduler.exe

esmi85 · Answer

Et je fais quoi quand elle est fixée ?

Merci d'avance

esmi85 · Answer

Fix veux dire ou souligne ? ou je ne comprend pas le terme .

Merci

Darkkiller · Answer

Re,

Bon tu vas faire un scan kaspersky en ligne : 
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Suis ces procédures à la clé :

Clique sur "Demarrer online-scanner"

Clique maintenant sur J'accepte. 
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. 
Patiente pendant l'installation des Mises à jour. 
Choisis par la suite l'analyse du Poste de travail 
Sauvegarde puis colle le rapport généré en fin d'analyse. 

Aide pour configurer les contrôles active X : http://www.inoculer.com/activex.php3

Attention : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. 

Puis poste le rapprt dans ton prochain post

Lyonnais92 · Answer

Bonsoir,

désolé de m'incruster, mais je pense que le rapport de elibagla est incomplet.

Je suis presque sur que le rapport complet va demander d'envoyer un ou plusieurs fichiers sur le site pour permettre la mise à jour de l'outil.

esmi, il faut que tu relances l'outil et que tu regardes bien tout ce qu'il génère comme rapport.

Tu dois avoir quelque chose comme cela 
	  Thu Mar 08 23:58:57 2007
EliBagle v10.26  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ERROR.TXT --> Eliminado Bagle

	  Thu Mar 08 23:59:15 2007
EliBagle v10.26  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
dans c:\InfoSat.txt
@+

esmi85 · Answer

Je n'ai fait qu 'un debut d'anlyse :

Voila le rapport 

KASPERSKY ON-LINE SCANNER REPORT  
Friday, March 09, 2007 12:06:44 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 8/03/2007
Enregistrements dans la base antivirus Kaspersky : 263018
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
A:\
C:\
D:\
E:\
F:\
G:\  
 
Statistiques de l'analyse 
Total d'objets analysés 10526 
Nombre de virus trouvés 1 
Nombre d'objets infectés 2 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:18:33 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip/Matrix.class  Infecté : Trojan-Downloader.Java.OpenStream.c  ignoré  
 
C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip  ZIP: infecté - 1  ignoré  
 
C:\Documents and Settings\esmi\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Logs\Dfsr00005.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\pending.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB\dfsr.db  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB\fsr.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB\fsrtmp.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB	mp.edb  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows Live Contacts\esm186@hotmail.comeal\members.stg  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows Live Contacts\esm186@hotmail.com\shadow\members.stg  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Historique\History.IE5\MSHist012007030820070309\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DF9A70.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DF9B11.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DFCAEE.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DFE400.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DFE40B.tmp  L'objet est verrouillé  ignoré  
 
Analyse interrompue par l'utilisateur ! 


Je suis conciente qu'il faut que je l'effectue completement pour l'analyser ?

JE le ferais demain

Merci de vos conseils précieux

Darkkiller · Answer

Re,

Ok on fera tout ça dès demain

esmi85 · Answer

Merci de vos précieux conseils et de votre patience et a demain por la suite.

Merci d'avance

Darkkiller · Answer

Mais de rien c'etait avec plaisir ;)Mais c'est pas fini :D

esmi85 · Answer

Je viens de faire mon analyse avec Kaspersky et voila le rapport:

KASPERSKY ON-LINE SCANNER REPORT  
Friday, March 09, 2007 6:45:21 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 9/03/2007
Enregistrements dans la base antivirus Kaspersky : 263928
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
A:\
C:\
D:\
E:\
F:\
G:\  
 
Statistiques de l'analyse 
Total d'objets analysés 122450 
Nombre de virus trouvés 6 
Nombre d'objets infectés 43 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 02:39:23 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip/Matrix.class  Infecté : Trojan-Downloader.Java.OpenStream.c  ignoré  
 
C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip  ZIP: infecté - 1  ignoré  
 
C:\Documents and Settings\esmi\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Logs\Dfsr00005.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\pending.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB\dfsr.db  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB\fsr.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB\fsrtmp.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Messenger\esm186@hotmail.com\SharingMetadata\Working\database_B680_B868_80B8_30AB	mp.edb  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows Live Contacts\esm186@hotmail.comeal\members.stg  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Application Data\Microsoft\Windows Live Contacts\esm186@hotmail.com\shadow\members.stg  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Historique\History.IE5\MSHist012007030920070310\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DF393A.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DF3945.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DFDE2.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temp\~DFFE9.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\esmi
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\hpcmerr.log  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP492\A0106206.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP493\A0106207.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP493\A0106208.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP493\A0106216.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106219.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106223.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106227.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106239.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106249.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106269.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106276.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106622.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106635.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106649.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106712.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP494\A0106729.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107728.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107805.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107818.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107914.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107919.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107924.sys  Infecté : Email-Worm.Win32.Bagle.hj  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107941.exe  Infecté : Email-Worm.Win32.Bagle.ii  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107942.exe  Infecté : Email-Worm.Win32.Bagle.hk  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107943.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107944.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107945.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107946.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107947.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107948.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107949.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107950.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107951.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107952.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107953.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107954.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107955.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107956.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107957.exe  Infecté : Email-Worm.Win32.Bagle.ih  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP495\A0107958.exe  Infecté : Email-Worm.Win32.Bagle.hk  ignoré  
 
C:\System Volume Information\_restore{6BF008B7-A509-4DC8-AACA-375223E0C478}\RP497\change.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\hosts  Infecté : Trojan.Win32.Qhost.el  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{5BDDFEAF-8D11-42FF-9AC5-FEB8F6EE2910}.bin  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Antivirus.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
F:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
Analyse terminée. 

MErci de votre aide

Darkkiller · Answer

Re,

Désolé pour le retard, je crois que bagle va mourrir :D 

Tu as juste à desactiver la restauration du système et à la réactivé.

Petite aide : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

Bonne chance

esmi85 · Answer

ESt ce qu'il faut que je redemarre l'ordinateur  avant d'activer la restauration du sytsème
Merci de votre aide

esmi85 · Answer

J'ai suivi ton conseil , est ce qu'il y a un test pour savoir si bagle est mort ?
Maintenant est ce que je peux installer mon antivirus Avast ?

Merci d'avance pour la reponse

Darkkiller · Answer

Re,

Ensuite redemarre en mode sans échec 
Tuto pour redemarrer en mode sans échec : http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

 Ensuite tu supprime manuellement ce fichiers : 

C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip


Redemarre normalement ensuite post un log hijackthis

Darkkiller · Answer

Re,

tu peux essayer de reinstaller avast

Darkkiller · Answer

Re,

Pour la restauration quand tu la désactive tu redemarre et ensuite tu la réactive

esmi85 · Answer

Pour l'instant j'ai suivi tes conseils , mais je n'ai pas reinstaller avast voila le rapport log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:52:03, on 09/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Documents and Settings\esmi\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Merci d'avance pour ton aide

Darkkiller · Answer

Re,

Il faut rechercher et supprimer ceci PowerReg Scheduler.exe

Puis re-post un log Hijackthis

afideg · Answer

Bonsoir Darkkiller 

Désolé de m'incruster, mais pourrais-tu répondre parfois aux questions posées .
L'internaute est en déroute .
Qu'est-ce PowerReg Scheduler.exe  a à voir avec Bagle ??
« Impossible de redémarrer en mode sans echec, avec ce Bagle ?! » 

esmi85 
Pourrais-tu apporter une réponse suite à l'intervention judicieuse de Lyonnais92 au post #26 ?
Ce serait un premier pas vers la réussite.

Je n'ai aucun conseil à donner.
Mais la lecture de ce topic me donne le vertige.
Et je n'ai pas envie de ne plus le suivre.
Bien au contraire

Al.

esmi85 · Answer

J'ai enlever PowerReg Scheduler.exe  et voila le rapport log hitjackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:24:32, on 09/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\esmi\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

J'ai reussi a installé avast

Merci d' avance de votre reponse

Darkkiller · Answer

Re,

Esmi tu as encore des symptomes (pop-up,avast se désactive)?

esmi85 · Answer

Je ne comprends pas ta question ?

C'est une affirmation ou une question ?

Merci d'avance de ta reponse

Darkkiller · Answer

Re,

Une question

esmi85 · Answer

Qu'est ce qu 'un pop up ?

comment savoir si avast se desactive ?

Merci de ta reponse ?

Darkkiller · Answer

Re,

Qu'est qu'un pop-up ?

Un pop-up est une pub lorsque tu accèdes à un site.Qui est généralement accompagné d'adware ou de spywares.

Comment sa voir si avast se désactive ?

Si avast se désactive tu aurra une petite bulle t'indiquant que ton anti-virus a été désactivé.

esmi85 · Answer

POur l'instant je n'ai pas de pop up et avast ne se desactive pas pour l'instant.

Merci de votre reponse

Darkkiller · Answer

Re,

Bon ben je crois que j'ai fait mon boulot mais si ya un seul problème qui se reproduit n'hésites pas à me recontacter pas message privé

Bon surf

esmi85 · Answer

Merci beaucoup de ton aide, je t'en suis extrement reconnaisant , je n'y serais jamais parvenue seul.

Encore merci.

Bonne soirée

Darkkiller · Answer

De rien c'etait avec plaisir

afideg · Answer

Bonsoir esmi

C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

Ce qui veut dire que ta console Java n'est pas à jour ! 

Pour corriger cela, va chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version. 

Après installation et redémarrage, va dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version. 

Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.


Mais c'est toi qui voit.
Fais à ta mode.

Al.

Darkkiller · Answer

Re,

Merci j'oublie certains truc car je suis helpeur débutant :s

afideg · Answer

Re-bonsoir esmi, Aucun pare-feu actif n'a été trouvé sur votre système Alors corrigez ce défaut. •- télécharger KERIO ici http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe •- Ensuite, quitter Internet ( IE ) pour lancer l'installation de ce pare-feu. Pour cela: - tu dois impérativement couper la connexion de ton modem (débranche-le), - ensuite installer ce pare-feu téléchargé , - et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé - si non, fais-le manuellement-) - tu lances alors l'installation ( ça devient urgent !!! ) - et l'activer - et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. . Eventuellement mettre à jour Kério. -Tutorials: pour configurer et comprendre l'utilisation de Kerio -< http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; ( merci à Boulepate ). - http://www.chez.com/leppa/scripts/kpfV4.html - https://www.vulgarisation-informatique.com/kerio.php Pour le pare-feu Windows, - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". - Mais il ne suffit pas de le désactiver... sinon effectivement il émet en permanence des alertes - Il faut que tu ailles dans panneau configuration -> centre sécurité - Sur la page qui s'ouvre en cliquant sur l'écusson "centre de contrôle Windows" ( où qu'il se trouve ) : < http://img332.imageshack.us/img332/1042/screenshot086rg4.gif > tu cliques l'encadré, « Modifier la façon dont le centre de sécurité me prévient » - Tu obtiens ceci < http://img67.imageshack.us/img67/1192/screenshot087vf7.gif > où tu ne coches aucune case ( donc tu ne reçois pas d'alerte, puisque tu ne demandes pas au "centre de contrôle Windows" de surveiller des protections ) Remarques : - Le pare-feu t'indiquera tout ce qui veut entrer ou sortir. Tu réponds NON à tout et tu étudies calmement les tentatives. Ce qui peut permettre de compléter une analyse d'infection réalisée avec les outils classiques. Mais c'est toi qui voit. Fais à ta mode. Al.

afideg · Answer

Bonjour Darkkiller 

Re-bonjour esmi, 


1°- Pourquoi avoir fait supprimer PowerReg Scheduler et son exécutable ???
Ce dernier est tout-à-fait légitime sur tous les sites /
: PowerReg Scheduler (N) PowerReg Scheduler.exe PowerREGISTER from Leadertech. Registration reminder as used by Iomega, Hasbro & Microprose - amongst others

Maintenant, si malgré mon intervention post #40, esmi n'en a fait qu'à sa tête sans poser la question réclamée par la prudence, qu'elle (il) en assume la responsablité.

2°- Encore, si esmi n'en a fait qu'à sa tête, en ignorant les conseils prodigués, par exemple en ne mettant pas à jour sa console JAVA, elle (il) se retrouvera rapidement encore dans cette configuration !:

C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip/Matrix.class Infecté : Trojan-Downloader.Java.OpenStream.c ignoré 

C:\Documents and Settings\esmi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv475.jar-3ba1bc27-56669104.zip ZIP: infecté - 1 ignoré 

3°- Et si esmi se croit ( à tout le moins ) invulnérable; que ceci soit affiché en grand pour les hackers ! esm186@hotmail.com

Que cela lui serve de leçon d'humilité et de courtoisie sur ce forum.

Désolé, mais il y a  des fois ....
Al.

esmi85 · Answer

J'ai suivi vos conseils et j'ai mis a jour ma consol java et je vais mettre aussi a jour mon pare feu en telechargent ce que vous m'avez conseillé.
Je suis désolé je n'ai pas eu le temps de repondre .

Je suis persuadée que vous avez des meilleurs connaissances que moi en informatique et je suis vos conseils.

Merci des aides de tout le monde

afideg · Answer

Bonjour esmi85 Tu as eu raison de mettre à jour Java, et d'installer un pare-feu. Relis bien le tuto de Boulepate. Questionne-le si tu hésites parfois dans une décision d'autorisation . Afin qu'il n'y ait pas de quiproquo avec le helper qui t'a aidée, voici le résultat des différents avis qu'on m'a rapportés généreusement. Merci . PowerReg Scheduler accompagne des progammes légitimes. Voilà ce qu'on peut en lire ici=> http://www.neuber.com/taskmanager/process/...eduler.exe.html et là : http://www.aviatainc.com/ L'analyseur Bleeping rapporte - > l'information de PowerReg Scheduler.exe : « C'est un programme valide mais on ne l'exige pas pour fonctionner sur le démarrage. » •- PowerReg Scheduler.exe < http://forum.zebulon.fr/lofiversion/index.php/t87572.html > ( ce qui va dans le sens de Darkiller ) ==> mais seulement pour son inutilité, et non pas pour son illégitimité !! •- Finalement, ceci est plus catégorique < http://www.liutilities.com/products/wintaskspro/processlibrary/powerreg%20scheduler/ > Ceci prouve les difficultés souvent rencontrées. Mais encore une fois, et jusqu'à preuve du contraire, PowerReg Scheduler.exe est indépendant des soucis provoqués par Bagle. Nettoye bien le PC avec : ATF-Cleaner tous les jours. CCleaner une fois par semaine. AVG Anti-Spyware tous les mois. Bon W-E Al.

afideg · Answer

Bonsoir esmi

Donc, kerio est bien en place, et activé .

Sais-tu accomplir ceci : « Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". » ?

Merci
Al.

esmi85 · Answer

Cela est effectué  mais c'est avec le centre de securité que j'ai un probleme la phrase modifier la facon dont le centre de securite me previent est de couleur marron donc on ne peut pas y acceder .

Que faire ?

Merci de votre aide

afideg · Answer

Re,

L'important est que ledit pare-feu de Windows soit désactivé.


Al.

esmi85 · Answer

Après si j'ai bien compris la procedure je dois acitver le pare feu et le configurer ?

Merci de votre aide

afideg · Answer

Re,

Je t'ai gâtée, en te livrant deux magnifiques modes d'emploi de Kerio. Tu ne vas pas me faire l'affront de me demander à quoi sert un pare-feu ( Google est là pour ça ).

Cependant :
1°- Voici une documentation pour en connaître un peu plus sur les "pare-feu"="firewalls"
- C'est quoi un firewall ? Comment ça marche ? 
< sebsauvage.net/comprendre/firewall/index.html > 
2°- Tu peux poser tes questions sur le site de Boulepate dont tu as reçu le lien. Mais il te répondra : « D'abord lire et relire, ensuite peut-être questionner »
C'est un peu comme une machine à coudre électrique, il faut activer l'alimentation électrique pour qu'elle soit active ! .
Tu n'as pas de machine à coudre ? ... Alors .... ?

J'oubliais, et pour enfiler l'aiguille, il faut assurément lire le mode d'emploi si l'on ne veut pas casser le fil.

Désolé; je ne peux rien de plus.
Bonne chance.
Al.

Infecté par le virus BAGLE

61 réponses

Votre réponse

Discussions similaires

Newsletters