[Virus] J'ai besoin de votre aide

Résolu
wawit Messages postés 14 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
Je pense être infecté par le virus win32.bagle.hq, c'est un scan en ligne avec karspersky qui me l'a appris. Les symptomes sont bien là impossible d'utiliser ou de réinstaller Avast, Spybot, scan en ligne secuser.com etc. impossible de démarrer en mode sans echec. Merci de votre aide
scan hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 09:19:50, on 22/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\SYSTEM32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\WINDOWS\System32\DSentry.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\BCMSMMSG.exe
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
C:\WINDOWS\system32\HotfixQ0306270.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\1&1\1&1 Connexion directe\EasyLogin.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\ERIC\Application Data\Mozilla\Profiles\default\6xlyu722.slt\prefs.js)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CORSAIR_PLUtil] C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [C:\Program Files\1&1\1&1 Connexion directe\EasyLogin.exe] "1&1 Connexion directe" HIDE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 Connexion directe] "C:\Program Files\1&1\1&1 Connexion directe\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PPControl.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/236611ac7bd16f7dfc14/netzip/RdxIE601_fr.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: 12Ghosts TrayProtect - Unknown owner - C:\Program Files\12Ghosts\12srvc.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\IoctlSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
Configuration: Windows XP
Internet Explorer 7.0

21 réponses

  • 1
  • 2
  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir wawit, raleuboleu,

    il ne peut pas installer un antivirus, c'est logique, vu l'infection bagle!

    télécharge ELIBAGLA sur ton bureau:

    http://www.zonavirus.com/datos/archivos/Descargas/Utilidades%20SATINFO/EliBaglA.exe

    Double-clic sur Elibagla.exe>laisse la case
    "eliminar ficheros automaticamente" coché>clique sur"explorar"
    >laisse-le travailler>poste le rapport final qui sera
    dans c:\infosat.txt

    a+
    1
  2. wawit Messages postés 14 Statut Membre
     
    J'essaie de faire remonter mon post dans le fil, merci de votre aide.
    0
  3. raleuboleu Messages postés 5028 Statut Membre 79
     
    SALUT

    tu n'as ni antivirus, ni parefeu?

    bizz
    0
  4. wawit Messages postés 14 Statut Membre
     
    Bonjour et merci de votre aide.
    Voici le rapport demandé, did71.

    A noter que lors du scan j'ai eu les messages suivants, même si l'on ne parle pas très bien l'espagnol, ils sont explicites:

    1 - "Acceso denegado a la carpeta
    c:\Documents and settings\Allusers\Apllication data\Adobe\Adobe Pdf (16)"

    2 - "Acceso denegado a la carpeta
    c:\Program files\Adobe\Acrobat 8.0\CMap(16)"

    Puis "detection infeccia c:\Windows\System32\HLDRRR.exe.vir"
    (avec demande voulez-vous corriger, demande à laquelle j'ai répondu non)

    voici le rapport généré:

    Wed May 23 10:18:04 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.38
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\HIDR.EXE.Muestra EliBagle v10.38
    a "virus@satinfo.es". Gracias.
    C:\DOCUMENTS AND SETTINGS\ERIC\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.38
    a "virus@satinfo.es". Gracias.
    C:\DOCUMENTS AND SETTINGS\ERIC\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed May 23 10:19:47 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Eliminada Carpeta "%AppData%\Hidires"

    Wed May 23 10:19:55 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Infectado.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. wawit Messages postés 14 Statut Membre
     
    Bonjour philo2100
    Je ne comprends par comment EliBaglA a pu résoudre le problème puisque lorsque j'ai lancé le scan, je n'ai pas coché la case, corriger les problèmes de plus à l'invitation citée plus haut dans le post, je lui ai répondu non. Par contre je pense qu'il a effectivement trouvé le virus. Faut il le relancer en lui demandant cette fois de corriger lesproblèmes ?

    Voici le rapport de l'exe Avast dont tu m'a parlé plus haut. Sachant que à l'origine avast était installé en résident sur ma machine et qu'il n'a absolument pas vu venir le problème, donc confiance relative concernant son efficacité concernant ce virus.

    23/05/2007, 11:07:08
    Analyse de la mémoire démarrée...
    Aucun corps de virus trouvé en mémoire.
    Analyse de la mémoire terminée (17,2s).
    ----------
    Analyse des fichiers démarrée...
    C:\WINDOWS\SYSTEM32\CatRoot2\edb.log... le fichier n'a pas pu être analysé !
    C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb... le fichier n'a pas pu être analysé !
    Aucun corps de virus trouvé.
    Analyse des fichiers terminée (103326 fichiers, 0 infectés, 1379,0s).
    Lecteurs analysés : C: F: G:
    ----------
    0
  7. wawit Messages postés 14 Statut Membre
     
    Petite correction, ayant mal lu le message de did71, j'ai refait un scan avec EliBaglA en cochant la case de correction automatique et voici le nouveau rapport.

    Wed May 23 10:18:04 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.38
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\HIDR.EXE.Muestra EliBagle v10.38
    a "virus@satinfo.es". Gracias.
    C:\DOCUMENTS AND SETTINGS\ERIC\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.38
    a "virus@satinfo.es". Gracias.
    C:\DOCUMENTS AND SETTINGS\ERIC\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
    Eliminada Carpeta "%WinDir%\exefld"
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed May 23 10:19:47 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Eliminada Carpeta "%AppData%\Hidires"

    Wed May 23 10:19:55 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Infectado.

    Wed May 23 11:52:42 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

    Wed May 23 11:52:52 2007
    EliBagle v10.38 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    0
  8. Utilisateur anonyme
     
    apparement il a fait son travail:
    soit il a renommé en VIR/soit éliminé.
    regarde si tu trouves
    WINTEMS.EXE.VIR
    HLDRRR.EXE .VIR
    HIDR.EXE
    BAN_LIST.TXT

    sur ton PC ?
    0
  9. wawit Messages postés 14 Statut Membre
     
    Pour ces 4 fichiers voici le résultat de recherche sur mon PC

    WINTEM.EXE.VIR : non
    HLDRRR.EXE .VIR : oui
    HIDR.EXE : non mais j'ai trouvé HIDR.EXE-2ecc35E6.pl
    BAN_LIST.TXT : oui

    Par contre j'ai pu retélecharger Avast, le réinstaller et effectuer un scan, il n'a rien trouvé.
    J'ai également pu relancer AVG antispyware, voici le rapport:

    + Créé à: 16:02:58 23/05/2007

    + Résultat de l'analyse:

    C:\WINDOWS\SYSTEM32\axuninstall.exe -> Adware.BlazeFind : Ignoré.
    C:\WINDOWS\od-stnd245.exe -> Dialer.WebDialer : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.38 -> Downloader.Bagle.aj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR -> Downloader.Bagle.aj : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.inf -> Downloader.IstBar.fa : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\ERIC\Bureau\Outils desinfection\EliBaglA.exe -> Heuristic.Win32.AVKiller : Ignoré.
    C:\Documents and Settings\ERIC\Cookies\eric@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
    C:\Documents and Settings\ERIC\Cookies\eric@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\ERIC\Cookies\eric@toplist[1].txt -> TrackingCookie.Toplist : Nettoyé.
    :mozilla.11:C:\Documents and Settings\ERIC\Application Data\Mozilla\Firefox\Profiles\e1wbhwio.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyé.
    C:\Muestras\HIDR.EXE.Muestra EliBagle v10.38 -> Worm.Bagle.hq : Nettoyé et sauvegardé (mise en quarantaine).

    Fin du rapport

    Je viens également de réinstallé Spybot qui semble fonctionner, je vais donc relancer un scan, apparement cela s'arrange.

    Je vous remercie pour vos conseils, et pour le temps que vous m'avez accordé.
    ELIBAGLA a vraiment permis de débloquer la situation.

    Puis-je considérer le problème comme résolu ou dois-je ressortir un log quelconque pour vérif ?
    0
  10. Utilisateur anonyme
     
    efface de ton PC
    ----------------------------
    HLDRRR.EXE .VIR
    BAN_LIST.TXT
    ----------------------------------------
    refais un scan avec scan avec EliBaglA
    on verra bien s'il reste des traces.

    0
  11. wawit Messages postés 14 Statut Membre
     
    Je viens de refaire un scan avec ELIBAGLA le rapport est totalement vierge.

    On en reste là ?
    0
  12. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir à vous,

    pour vérification!

    Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau:

    https://europe.f-secure.com/exclude/blacklight/index.shtml

    Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse!

    a+
    0
  13. wawit Messages postés 14 Statut Membre
     
    Voici le rapport de Blacklight

    05/23/07 17:17:05 [Info]: BlackLight Engine 1.0.61 initialized
    05/23/07 17:17:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    05/23/07 17:17:05 [Note]: 7019 4
    05/23/07 17:17:05 [Note]: 7005 0
    05/23/07 17:18:21 [Note]: 7006 0
    05/23/07 17:18:21 [Note]: 7011 1604
    05/23/07 17:18:22 [Note]: 7026 0
    05/23/07 17:18:22 [Note]: 7026 0
    05/23/07 17:18:24 [Note]: FSRAW library version 1.7.1021
    05/23/07 17:45:40 [Note]: 7007 0
    0
  14. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    ok, c'est propre!

    J'aimerais être certain qu'il ne reste rien, et on nettoiera un peu plus!

    1) Télécharge ATF-Cleaner (par Atribune) de ce lien :

    http://www.atribune.org/ccount/click.php?id=1

    sauvegarde-le sur ton Bureau.

    redémarre en mode sans échec!

    Double-clique ATF-Cleaner.exe qui est sur le Bureau, afin de lancer le programme.
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected. Clique Ok, puis Exit

    2) Télécharge AVG Anti-Spyware:

    https://www.avg.com/en-ww/free-antivirus-download

    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    Lance AVG Anti-Spyware
    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    poste le rapport AVG!

    3) poste un nouvel hiajcthis!

    a+
    0
  15. wawit Messages postés 14 Statut Membre
     
    Bon voila c'est fait:

    questions:
    1 - quelle différence entre ccleaner et ATF-cleaner

    2 - lors de cette contamination étaient installés en résident:
    Antivirus Avast
    PestPatrol (avec licence et bases de définition à jour)
    Spybot search and destroy

    Pourriez vous me conseiller un kit de sécurité plus adapté.
    (si possible gratuit, ou au maximum avec 1 licence)

    rapport AVG antispyware:

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 11:09:09 24/05/2007

    + Résultat de l'analyse:

    C:\WINDOWS\SYSTEM32\axuninstall.exe -> Adware.BlazeFind : Ignoré.
    C:\Documents and Settings\ERIC\Bureau\Maintenance\EliBaglA.exe -> Heuristic.Win32.AVKiller : Ignoré.

    Fin du rapport

    Hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:10:03, on 24/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16441)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Hijackthis Version Française\wawit.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    N3 - Netscape 7: user_pref("browser.search.defaultengine", "https://www.google.com/?gws_rd=ssl"); (C:\Documents and Settings\ERIC\Application Data\Mozilla\Profiles\default\6xlyu722.slt\prefs.js)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [CORSAIR_PLUtil] C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe
    O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [C:\Program Files\1&1\1&1 Connexion directe\EasyLogin.exe] "1&1 Connexion directe" HIDE
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKCU\..\Run: [1&1 Connexion directe] "C:\Program Files\1&1\1&1 Connexion directe\EasyLogin.exe" HIDE
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: PPControl.lnk = ?
    O4 - Global Startup: Digital Line Detect.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/236611ac7bd16f7dfc14/netzip/RdxIE601_fr.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\IoctlSvc.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
    0
  16. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonjour,

    recherche et supprime le fichier en gras ci dessous:

    C:\WINDOWS\SYSTEM32\axuninstall.exe

    Il n'y a pas de grande différence entre ATF Cleaner et CCleaner mais je préfère ATF!

    Pour la sécurité de ton pc regarde ici, tu trouvera ton bonheur:

    https://forum.pcastuces.com/default.asp

    a+
    0
  17. Utilisateur anonyme
     
    Bonjour à tous,

    Si je peux me permettre quelques conseils...

    AFT-cleaner est à utiliser à chaque fois que tu as été sur le NET.
    Ca va t'éviter d'accumuler les trucs inutiles.
    CCleaner est plus profond dans le nettoyage, je préconise une fois la semaine.
    -------------------------
    désactive teatimer de Spybot:
    --------------------------------------------
    coches ceci + fixer objets
    ----------------------------------------------
    -----------------------------
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

    O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    ceci aussi:
    O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Startup: PPControl.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    --------------------------------------------
    désinstalles ceci:
    ---------------------------------
    CookiePatrol.exe
    ezSP_Px.exe
    PPControl.exe
    ------------------------------
    note:
    ------------------

    A trop vouloir te protéger tu vas, juste réussir à ce que tous ces trucs se marchent sur les pieds. De plus celà peu fausser le scan Hijackthis.
    Tu as quoi comme fire-wall ?
    ---------------------------------
    je te conseille ensuite de faire ceci:
    http://support.f-secure.fr/fra/home/ols.shtml
    poste le log
    ------------------------------

    0
    1. wawit
       
      Boici le log de FSecure, qui m'a trouvé 2 trojans apparement sans rapport.
      Pour le pare feu j'hésite entre zonealarm et outpost free.


      Scanning Report
      Friday, May 25, 2007 11:04:26 - 12:22:22
      Computer name: ADMINISTRATION
      Scanning type: Scan system for viruses, rootkits, spyware
      Target: C:\ F:\ G:\


      --------------------------------------------------------------------------------

      Result: 2 malware found
      NetworkWorm.ACJ (virus)
      C:\DOCUMENTS AND SETTINGS\ERIC\BUREAU\MAINTENANCE\ASWCLNR.EXE (Submitted)
      W32/W.B (virus)
      C:\PROGRAM FILES\MACROMEDIA\CONTRIBUTE 2\CONTRIBUTE.EXE (Submitted)

      --------------------------------------------------------------------------------

      Statistics
      Scanned:
      Files: 57193
      System: 5020
      Not scanned: 3
      Actions:
      Disinfected: 0
      Renamed: 0
      Deleted: 0
      None: 2
      Submitted: 2
      Files not scanned:
      C:\PAGEFILE.SYS
      C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
      C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{06938613-A8E3-4CFA-9DBD-E5E7FFB63246}.BIN

      --------------------------------------------------------------------------------

      Options
      Scanning engines:
      F-Secure Libra: 2.4.2, 2007-05-23
      F-Secure AVP: 7.0.171, 2007-05-25
      F-Secure Orion: 1.2.37, 2007-05-25
      F-Secure Blacklight: 1.0.53
      F-Secure Draco: 1.0.35, 0260-23-12
      F-Secure Pegasus: 1.19.0, 2007-04-22
      Scanning options:
      Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
      Use Advanced heuristics
      0
  18. Utilisateur anonyme
     
    Salut à tous,
    tu as fait ceci ?
    ----------désinstalles ceci:
    ---------------------------------
    CookiePatrol.exe
    ezSP_Px.exe
    PPControl.exe
    ---------------------------
    Bien, refaits un log Hijackthis.

    0
  19. wawit Messages postés 14 Statut Membre
     
    Question à Philo2100:
    Pourquoi faut il que je desinstalle Pestpatrol, qui est le seul antispyware fonctionnant en résident sur ma config ?
    0
  • 1
  • 2