[virus?spywares?trojans?] ordinateurs infecté [Résolu/Fermé]

Signaler
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
-
 black&whith -
Bonjour à toous,
depuis quelques temps mon pc a ralenti de façon considérable, je pense être infecté par quelque chose.
une fois j'étais sur msn et une conversation avec au moins 10 personnes s'est ouverte tte seule.

est ce que quelqu'un pourrait analyser mon pc svp

aidez moi

23 réponses

Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
s'il vous plait dites moi ce que je dois faire
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
Bonjour,

Fais une analyse anti-virus en ligne avec :
http://security.symantec.com/sscv6/home.asp?langid=fr&venid=sym&plfid=23&pkj=JCUZFIZTYMWPAZTJWUF&bhcp=1
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
ok je vais le faire veux j vais voir ce que cela donne
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
Bonjour,

en complement de cela il faut nettoyer regulierement ton PC avec cclenaer par exemple, tu le trouveras au lien suivant :

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
:\WINDOWS\system32\msorcl32.exe est infecté par Trojan Horse.
C:\WINDOWS\exefld\20441390.exe est infecté par W32.Beagle.DZ.
C:\Documents and Settings\cookies\Application Data\hidires\hidr.exe est infecté par W32.Beagle.DZ.
C:\Documents and Settings\cookies\Application Data\hidires\rosa.sys est infecté par W32.Beagle.DZ.

comment s'en débarrasser
avast n les avaient pas trouvé!!!!



ps j'ai déja ccleaner et je le passe régulièrement
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
help je n'est pas norton comment faire pour détruire ces mer.....
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
j'ai vu sur le forum que certains peuvent retrouver des choses avec hijack je vous donne le rapport

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:29:44, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\cookies\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
vous m'oubliez snif
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
j'ai encore mes pbs
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.zip pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
merci pour ton aide

voici le rapport de navilog

Search Navipromo version 2.0.5 commencé le 12/07/2007 à 14:00:59,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\cookies\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/12/07 at 14:01:00.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/12/07 at 14:04:59 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 12/07/2007 à 14:05:45,87 ***
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
Bonjour,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

Ensuite relance CCleaner. (verifie que dans "options" puis "avancé" la case "effacer uniquement les fichiers plus vieux que 48h" est bien decoché, si non fais le)
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
voici la deuxième étape....

Clean Navipromo version 2.0.5 commencé le 15/07/2007 à 8:14:27,35

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\cookies\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\cookies\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 15/07/2007 à 8:16:42,79 ***
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
ok n'as tu rien vu sur la rapport hijack?

k'as tu vu sur le rapport navilog?
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
j'ai également passer ccleaner j'attends tes nouvelles instructions
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
Ok,
Maintenant refais une analyse anti-virus en ligne avec :
http://security.symantec.com/sscv6/home.asp?langid=fr&venid=sym&plfid=23&pkj=JCUZFIZTYMWPAZTJWUF&bhcp=1
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
OK VOICI LE RAPPORT


TOUJOURS INFECTE !!!!!!!!




58029 fichiers analysés, 4 fichier(s) infecté(s) sur vos lecteurs de disque.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.

Aucun virus n'a été détecté en mémoire.

L'analyse a été annulée avant la fin. Pour redémarrer l'analyse, cliquez ici.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.

Attention ! L'analyse a détecté un virus actif dans la mémoire de l'ordinateur.
L'analyse a été interrompue pour éviter toute infection ultérieure.

Vous devriez fermer l'ordinateur immédiatement et le redémarrer avec un disque de secours antivirus ou similaire.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur est infecté par au moins un virus ou cheval de Troie connu.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur est infecté par au moins un virus ou cheval de Troie connu.

Remarque : l'analyse a été annulée avant la fin. Il peut rester des fichiers infectés sur l'ordinateur.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.


Aucune analyse n'a été exécutée. Pour lancer la détection de virus, cliquez ici.

C:\WINDOWS\system32\msorcl32.exe est infecté par Trojan Horse.
C:\WINDOWS\exefld\20441390.exe est infecté par W32.Beagle.DZ.
C:\Documents and Settings\cookies\Application Data\hidires\hidr.exe est infecté par W32.Beagle.DZ.
C:\Documents and Settings\cookies\Application Data\hidires\rosa.sys est infecté par W32.Beagle.DZ.
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
# Etape 1/ Télécharge :

- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\ et un nouveau rapport GenProc.

elibagla se trouve tout au bas de la page.
C'est un tout petit rectangle dans lequel est écrit ceci
descargar elibagla 10.41
tu cliques dessus et le fichier anti trojan (bagle) va se charger
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
que dois je faire ensuite?
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
on y arrive merci

voici les 2 rapports


Sun Jul 15 12:58:12 2007
EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\DOCUMENTS AND SETTINGS\COOKIES\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\COOKIES\APPLICATION DATA\HIDIRES\ROSA.SYS --> Eliminado Bagle (rootkit)
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Sun Jul 15 12:58:23 2007
EliBagle v10.45 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\





puis




58661 fichiers analysés, 1 fichier(s) infecté(s) sur vos lecteurs de disque.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.

Aucun virus n'a été détecté en mémoire.

L'analyse a été annulée avant la fin. Pour redémarrer l'analyse, cliquez ici.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.

Attention ! L'analyse a détecté un virus actif dans la mémoire de l'ordinateur.
L'analyse a été interrompue pour éviter toute infection ultérieure.

Vous devriez fermer l'ordinateur immédiatement et le redémarrer avec un disque de secours antivirus ou similaire.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur est infecté par au moins un virus ou cheval de Troie connu.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur est infecté par au moins un virus ou cheval de Troie connu.

Remarque : l'analyse a été annulée avant la fin. Il peut rester des fichiers infectés sur l'ordinateur.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.


Aucune analyse n'a été exécutée. Pour lancer la détection de virus, cliquez ici.

C:\WINDOWS\system32\msorcl32.exe est infecté par Trojan Horse.
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
ne m'abandonne pas!!!

snif
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22
Bonsoir,

Il ne te reste plus qu'un trojan à priori mais il me faudrai le chemin ou il se trouve. Avec un scan par Symantec tu peux me le fournir.
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1
C:\WINDOWS\system32\msorcl32.exe est infecté par Trojan Horse.

le trojan n'est pas ici?
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22 >
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011

Bonjour,

Maintenant que l'emplacement du trojan est localisé on va pouvoir sans debarasser. Attention ne supprime surtout pas le fichier directement, suis les manipulations suivante :

Vas sur ce site https://www.virustotal.com/gui/
Colle dans la case à gauche de "Parcourir" le chemin du fichier infecté:
C:\WINDOWS\system32\msorcl32.exe
clique ensuite sur "send file". Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED" sur la droite. Dépose le dans ta réponse.
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1 >
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008

File msorcl32.exe_ received on 07.16.2007 18:03:52 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: 2.
Estimated start time is between 46 and 66 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.16 Win-AppCare/Renos.83463
AntiVir 7.4.0.42 2007.07.16 TR/Crypt.FKM.Gen
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.15 Generic4.RZF
BitDefender 7.2 2007.07.16 Trojan.Renos.M
CAT-QuickHeal 9.00 2007.07.16 Hoax.Renos.fn (Not a Virus)
ClamAV devel-20070416 2007.07.16 Trojan.Fakealert-68
DrWeb 4.33 2007.07.16 BackDoor.Generic.1599
eSafe 7.0.15.0 2007.07.10 suspicious Trojan/Worm
eTrust-Vet 30.8.3787 2007.07.16 no virus found
Ewido 4.0 2007.07.14 Trojan.Renos.nbf
FileAdvisor 1 2007.07.16 no virus found
Fortinet 2.91.0.0 2007.07.16 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.16 no virus found
Kaspersky 4.0.2.24 2007.07.16 not-virus:Hoax.Win32.Renos.fn
McAfee 5074 2007.07.13 TFactory
Microsoft 1.2704 2007.07.16 no virus found
NOD32v2 2400 2007.07.16 Win32/Hoax.Renos.NBF
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 Adware/SpyAway
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.16 Trojan Horse
TheHacker 6.1.6.147 2007.07.16 Aplicacion/Renos.fn
VBA32 3.12.0.2 2007.07.16 suspected of Malware.VB.32
VirusBuster 4.3.23:9 2007.07.15 Trojan.Renos.DF.Gen
Webwasher-Gateway 6.0.1 2007.07.16 Trojan.Crypt.FKM.Gen
Aditional information
File size: 83464 bytes
MD5: 54c7d2d174e0b216c23fb5e82cac5122
SHA1: 4b35a30d33fc4f2c7b7776e182a4b68eef472d64
packers: UPX
packers: UPX
packers: UPX



voila je fais faire un scna en ligne et je te recolle la réponse ok?
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011
1 >
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008

toujours infectés!!!!!!


rapport scna norton en ligne



Etat des virus : Infecté !
Votre ordinateur est infecté par au moins une menace connue.
Etat des virus :



57825 fichiers analysés, 1 fichier(s) infecté(s) sur vos lecteurs de disque.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.

Aucun virus n'a été détecté en mémoire.

L'analyse a été annulée avant la fin. Pour redémarrer l'analyse, cliquez ici.

Votre ordinateur ne contient pas de menaces connues. La détection de virus ne vérifie pas les fichiers compressés.

Votre ordinateur semble à présent en sécurité. Pour bénéficier d'une protection en temps réel contre les virus, les pirates et le vol d'informations, effectuez une mise à niveau vers Norton Internet Security™.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.

Attention ! L'analyse a détecté un virus actif dans la mémoire de l'ordinateur.
L'analyse a été interrompue pour éviter toute infection ultérieure.

Vous devriez fermer l'ordinateur immédiatement et le redémarrer avec un disque de secours antivirus ou similaire.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur est infecté par au moins un virus ou cheval de Troie connu.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.


Aucun virus n'a été détecté en mémoire.

Votre ordinateur est infecté par au moins un virus ou cheval de Troie connu.

Remarque : l'analyse a été annulée avant la fin. Il peut rester des fichiers infectés sur l'ordinateur.

Recherchez le nom des menaces indiquées ci-dessous sur le site Symantec Security Response pour obtenir des conseils de suppression.


Aucune analyse n'a été exécutée. Pour lancer la détection de virus, cliquez ici.

C:\WINDOWS\system32\msorcl32.exe est infecté par Trojan Horse.
Messages postés
209
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
26 mai 2008
22 >
Messages postés
166
Date d'inscription
dimanche 25 mars 2007
Statut
Membre
Dernière intervention
23 mars 2011

Bonsoir,
Je sais que tu es toujours infecté voici les quelques derniere manip pour etre tranquille

1/ Vas sur ce site http://siri.urz.free.fr/upload/
Sur la ligne "Lien vers le message du forum où le fichier a été demandé:" colle l'adresse de cette page
Sur la ligne "Fichier:" -> colle ce chemin en gras C:\WINDOWS\system32\msorcl32.exe et clique sur "upload"


2/ Télécharge Pocket KillBox http://www.downloads.subratam.org/KillBox.exe sur ton bureau.
Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie d'un trait les lignes de la citation suivante :

C:\WINDOWS\system32\msorcl32.exe
C:\WINDOWS\alerter_snow.exe

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

-------------------------

3/ Dès le redémarrage, lance le nettoyage avec CCleaner et supprime :
C:\!Killbox <- le dossier
Vide la corbeille

Ensuite refait un scan et donne des nouvelles