Problèmes multiples et prise de tête

Question

Bonjour,
Mon problème est multiple, tout dabord je semble etre infecté par le Trojan WIN32 Looksky qui m'ouvre sans cesse des messages d'alerte qui m'envoient sur un site ainsi que part d'autres trucs qui m'ouvrent d'autres sites....
J'ai bien essayé de les virer avec des antivirus et des antispyware l'ennui c'est que spybot avast et compagnie ont leur fichier EXE qui se font litteralement "bouffer", je me suis donc rabatu sur des scan online et sur d'autres programmes tels que Ad-aware et a-squared.
J'ai pu supprimer au passage quelques spywares et virus mais les problemes persistent...

J'ai bien essayer d'utiliser SmitfraudFix et SDFix mais quand je sélectionne le mode sans échec, des fichiers se chargent et au moment où devrait apparaitre windows en mode sans échec j'ai un redémarrage à la place. J'ai essayé à plusieures reprises mais impossible de passer en mode sans échec, ou en tout cas pas de cette façon.

papyber · Answer

Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
tout en bas de cette page tu trouveras un outil 
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
installe ce fichier sur le bureau. 
ensuite double-clic sur Elibagla.exe 
>laisse la case "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 
>poste le rapport final qui sera dans c:\infosat.txt 

Si, dans le rapport, tu vois un texte semblable à celui-ci 

Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 
a "virus@satinfo.es". Gracias; 

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es). 

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

Télécharge Blacklight (le 1er de la page)
https://europe.f-secure.com/exclude/blacklight/index.shtml

 
Enregistre le sur ton Bureau.
Double-clique fsbl.exe
Clique sur "I ACCEPT" .
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

poste ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents,  tel wbemtest.exe

1/télécharge et installe le logiciel HijackThis 
http://pchelpbordeaux.free.fr/logiciels.html
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
 http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Mecha · Answer

Pour l'instant j'ai ça avec EliBagle:

 
       Tue Sep 18 14:25:19 2007
EliBagle v10.53  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.53
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"



J'ai envoyé le fichier et j'attend donc demain pour la nouvelle version.


Blacklight m'a donné ça:


09/18/07 15:14:24 [Info]: BlackLight Engine 1.0.64 initialized
09/18/07 15:14:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/18/07 15:14:25 [Note]: 7019 4
09/18/07 15:14:25 [Note]: 7005 0
09/18/07 15:14:42 [Note]: 7006 0
09/18/07 15:14:42 [Note]: 7011 1936
09/18/07 15:14:42 [Note]: 7026 0
09/18/07 15:14:42 [Note]: 7026 0
09/18/07 15:14:45 [Note]: FSRAW library version 1.7.1022
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared
ews.png
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
09/18/07 15:16:31 [Note]: 10002 3
09/18/07 15:16:31 [Note]: 10002 2
09/18/07 15:16:31 [Note]: 10002 2
09/18/07 15:17:09 [Note]: 10002 2
09/18/07 15:17:09 [Note]: 10002 2
09/18/07 15:17:29 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/18/07 15:17:29 [Note]: 10002 2
09/18/07 15:20:00 [Note]: 7007 0



Et enfin HijackThis ceci:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:15, on 18/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Meyer\Bureau\Nouveau dossier (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C1A5300-270E-4106-B406-D8521A8709E0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MSVPS System - {ACD85107-9CF9-4C9E-B0B7-39940A0017C0} - C:\WINDOWS
sduo.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EA Link\Core.exe" -silent
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O21 - SSODL: msmhost - {08710C4B-5B68-43AC-915E-980144C0B57D} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {4F65B38C-1E9C-4A6D-BD62-18584085A7F5} - C:\WINDOWS\msmdev.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

papyber · Answer

pas la peine on va essayer de finir la désinfection ce soir....
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :

Paste List of Files/Folders to be moved.
c:\Program Files\Movie Maker\Shared
c:\Program Files\Movie Maker
c:\WINDOWS\system32\drivers\srosa.sys 
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Télécharge SmitfraudFix  de S!Ri, balltrap34 et moe31 
http://siri.urz.free.fr/Fix
Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix. 
Utilisation ----- option 1 - Recherche : 
Double clique sur smitfraudfix.cmd  Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. 
 Poste le rapport 
Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité

poste les rapports obtenus
OTMoveIt et SmitFraud

Mecha · Answer

Désolé je n'ai pas pu repaser avant le matin.

Rapport de OTMoveIt:


c:\Program Files\Movie Maker\Shared\Profiles moved successfully.
c:\Program Files\Movie Maker\Shared moved successfully.
c:\Program Files\Movie Maker\MUI\040C moved successfully.
c:\Program Files\Movie Maker\MUI moved successfully.
Folder cleanup  failed. c:\Program Files\Movie Maker scheduled to be deleted on reboot.
c:\WINDOWS\system32\drivers\srosa.sys moved successfully.
 
Created on 09/19/2007 06:55:59



Tous les fichiers concernés semblent avoir étés envoyés dans: C:\_OTMoveIt

Rapport de SmitFraud:



SmitFraudFix v2.225

Rapport fait à  7:04:50,01, 19/09/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\main_uninstaller.exe PRESENT !
C:\WINDOWS\msmdev.dll PRESENT !
C:\WINDOWS\msmhost.dll PRESENT !
C:\WINDOWS
sduo.dll PRESENT !
C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Meyer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Meyer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Meyer\Favoris

C:\DOCUME~1\Meyer\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\Meyer\Favoris\Privacy Protector.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\Meyer\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\Meyer\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\Meyer\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\VideoAccessCodec\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

papyber · Answer

je suis peu là aujourd'hui
la suite en coup de vent...
 Redémarrer l'ordinateur en mode sans échec , si tu n'y arrives pas, tu n'insistes pas, c'est l'infection baggle qui désactive le mode sans échec et cela veut dire qu'elle est encore présente

1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur 

· Double cliquer sur Smitfraudfix.exe. 
· Sélectionner 2 pour supprimer les fichiers responsables de l'infection. 
· A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. 
· A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. 
· Quitter le programme en appuyant sur Q. 
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1 
Attention que l'option 2 de l'outil supprime le fond d'écran ! 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Redémarrer normalement et coller sur le forum le rapport généré et un rapport hijack this
de retour vers 17 h

Mecha · Answer

Je vien d'essayer une fois de passer en mode sans échec mais comme les fois précédentes, aprés avoir séléctionné le mode sans échec, il a redemarré avant le chargement de windows...

papyber · Answer

Je le craignais un peu 
supprime la version de Elibagla que tu as
retourne sur le lien que je t'ai fourni et télécharge à nouveau Elibagla et recommence la manip
ensuite tu essaies à nouveau d'aller en mode sans échec, toujours sans insister.
si cela fonctionne, tu passes la partie 2 de smitfraud
si cela ne fonctionne pas, tu refais un rapport blacklight et tu postes le tout sur le forum
elibagla, smitfraud si tu as pu le faire et blacklight

pas moyen d'accéder au forum facilement aujourd'hui!!!

Mecha · Answer

Wed Sep 19 19:17:00 2007
EliBagle v10.56  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Meyer\Local Settings\Application Data\IM\Identities\{3D812D8A-AFFB-46FB-AFD5-F13578CA74BC}\Message Store\Attachments\HIDR.EXE.MUESTRA ELIBAGLE V10.53 --> Eliminado Bagle
C:\Documents and Settings\Meyer\Local Settings\Application Data\IM\Identities\{3D812D8A-AFFB-46FB-AFD5-F13578CA74BC}\Message Store\Attachments\{CBE065D9-8DD4-4F49-98FA-3B11D3B32DB2}\HIDR.EXE.MUESTRA ELIBAGLE V10.53 --> Eliminado Bagle
C:\Muestras\HIDR.EXE.MUESTRA ELIBAGLE V10.53 --> Eliminado Bagle


Jai essayé une fois de lancer le mode sans échec mais le résultat à été le même qu'avant...


09/19/07 19:30:34 [Info]: BlackLight Engine 1.0.64 initialized
09/19/07 19:30:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/19/07 19:30:34 [Note]: 7019 4
09/19/07 19:30:34 [Note]: 7005 0
09/19/07 19:30:38 [Note]: 7006 0
09/19/07 19:30:38 [Note]: 7011 1712
09/19/07 19:30:38 [Note]: 7026 0
09/19/07 19:30:39 [Note]: 7026 0
09/19/07 19:30:41 [Note]: FSRAW library version 1.7.1022
09/19/07 19:34:03 [Note]: 7007 0

Blacklight dit qu'il n'a rien trouvé.

papyber · Answer

Réparation mode sans échec
Essaye ceci :
Fais un clic droit ici 
http://www.malekal.com/download/SafeBoot.reg
et choisis " enregistrer la cible sous" afin de télécharger SafeBoot.reg sur ton bureau.
Double clique dessus et accepte la fusion avec le registre. 
Tiens au courant

réeassaie d'aller an mode sans échec, n'insiste pas si tu n'y arrives pas!

Mecha · Answer

Le mode sans échec à marché, j'ai fais la 2e partie de smitfraud:

SmitFraudFix v2.225

Rapport fait à 19:48:31,82, 19/09/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\main_uninstaller.exe supprimé
C:\WINDOWS\msmdev.dll supprimé
Deleting [HKEY_CLASSES_ROOT\CLSID\{4F65B38C-1E9C-4A6D-BD62-18584085A7F5}]
C:\WINDOWS\msmhost.dll supprimé
Deleting [HKEY_CLASSES_ROOT\CLSID\{08710C4B-5B68-43AC-915E-980144C0B57D}]
C:\WINDOWS
sduo.dll supprimé
C:\WINDOWS\privacy_danger\ supprimé
C:\DOCUME~1\Meyer\Bureau\Error Cleaner.url supprimé
C:\DOCUME~1\Meyer\Bureau\Privacy Protector.url supprimé
C:\DOCUME~1\Meyer\Bureau\Spyware?Malware Protection.url supprimé
C:\DOCUME~1\Meyer\Favoris\Error Cleaner.url supprimé
C:\DOCUME~1\Meyer\Favoris\Privacy Protector.url supprimé
C:\Program Files\VideoAccessCodec\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A5557AA3-F44A-4DBB-B139-FB25C94C8977}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Au retour en mode normal je remarque déjà (à part la disparition du fond d'écrant et du skin modifié de windows...mais ça c'est pas une perte...) que les 3 racourcis qui réapparaissaient à chaque démarrages sur le bureau et dans les favoris IE ne sont plus là.
Pour l'instant je n'ai pas été dérangé par des fenètres qui s'ouvrent toutes seules...
A première vu le problème semble réglé^^
à moin qu'il reste encore une manip à faire?

papyber · Answer

il faut toujours vérifier qu'il ne reste rien! lol!!!!
donc tu me remets un rapport hijack this stp

Mecha · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:05, on 19/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Meyer\Bureau\Nouveau dossier (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C1A5300-270E-4106-B406-D8521A8709E0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

papyber · Answer

réactive ou installe un antivirus urgent!!!!choisis Antivir en gratuit si tu n'en as pas
https://www.pcastuces.com/logitheque/antivir.htm
un tuto pour le paramétrer
http://mr.dodo.perso.cegetel.net/tuto21.htm

installe aussi un pare feu, par exemple ZoneAlarm
https://www.pcastuces.com/logitheque/zonealarm.htm
un tuto pour le paramétrer
http://securite-facile.ovh.org/zonealarm.php

lance hijack this pour un scan et coche les lignes suivantes
O2 - BHO: (no name) - {5C1A5300-270E-4106-B406-D8521A8709E0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
ferme toutes tes fenêtres y compris internet et clique sur fixer l'objet

faire un scan antivirus en ligne avec internet explorer et accepter l'activex 
https://www.bitdefender.fr/ 

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur I agree 
La fenêtre change encore, clique sur Click here to scan 
Les signatures se chargent, etc. 

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

poster le rapport ici ensuite et me dire si tu as encore des soucis

Mecha · Answer

Voilà j'ai tout installé zone alarm est actif et antivir protège l'ordi, je ferais un scan avec plus tard kan celui de bitdefender sera fini... à la vitesse à laquelle ça avance je n'aurais pas le rapport avant demain matin...
Par contre zone alarme me signal kil y a 2 "Generic Host Process for Win32 Services" qui demandent acces à internet, j'ai accepté car ça me semblais pas vraiment suspect mais je ne sais pas vraiment ce que c'est...

papyber · Answer

cela dépend de ta connection, sur certain PC il faut l'accepter, sur d'autres le refuser...
refuse le dans un 1er temps, si internet fonctionne bien, tu le laisses ainsi, si par contre, tu as des problèmes tu l'acceptes...

Mecha · Answer

Ha zut je les ai accepté et maintenant je voi pas comment les bloquer...

papyber · Answer

tu ouvres zone alarme et tu regardes dans "contrôle des programmes"
tu décoches la ligne avec un clic droit
regarde sur ce tuto c'est très bien expliqué
http://securite-facile.ovh.org/zonealarm.php
à demain

Mecha · Answer

ha oui merci j'avais pas vu l'onglet "programme" -_-'
Bonne nuit et à demain

Mecha · Answer

voilà le rapport de bitdefender

BitDefender Online Scanner
Scan report generated at: Thu, Sep 20, 2007 - 00:03:24
Scan path: C:\;D:\;E:\;F:\;
	

Statistics

Time
	02:11:49

Files
	561922

Folders
	7990

Boot Sectors
	4

Archives
	3124

Packed Files
	13866
	

Results

Identified Viruses
	3

Infected Files
	4

Suspect Files
	2

Warnings
	0

Disinfected
	0

Deleted Files
	6
	

 
	

 

Engines Info

Virus Definitions
	
820910

Engine build
	

AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Scan plugins
	14

Archive plugins
	38

Unpack plugins
	7

E-mail plugins
	6

System plugins
	1
	

 
	

 

Scan Settings

First Action
	

Disinfect

Second Action
	

Delete

Heuristics
	

Yes

Enable Warnings
	

Yes

Scanned Extensions
	

*;

Exclude Extensions
	

 

Scan Emails
	

Yes

Scan Archives
	

Yes

Scan Packed
	

Yes

Scan Files
	

Yes

Scan Boot
	

Yes
	

 
	

 
 

Scanned File
	

 Status

C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53
	

Infected with: DeepScan:Generic.Malware.SP!V.B7D7F65A

C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53
	

Disinfection failed

C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53
	

Deleted

C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)
	

Updated

C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)
	

Updated

C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx
	

Update failed

C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe
	

Infected with: Trojan.Downloader.Zlob.NI

C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe
	

Disinfection failed

C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe
	

Deleted

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037504.exe
	

Suspected of: Trojan.Downloader.Zlob.AAOM

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037504.exe
	

Disinfection failed

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037504.exe
	

Deleted

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037505.exe
	

Suspected of: Trojan.Downloader.Zlob.AAOM

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037505.exe
	

Disinfection failed

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP384\A0037505.exe
	

Deleted

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)=>lzma_solid_nsis0000
	

Infected with: Trojan.Downloader.Zlob.AAGR

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)=>lzma_solid_nsis0000
	

Disinfection failed

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)=>lzma_solid_nsis0000
	

Deleted

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043296.exe=>(NSIS o)
	

Update failed

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP388\A0043450.exe
	

Infected with: Trojan.Downloader.Zlob.NI

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP388\A0043450.exe
	

Disinfection failed

C:\System Volume Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP388\A0043450.exe
	

Deleted



Pendant que Bitdefender scannait mon ordi antivir à commencé à me signaler la présence de plusieurs trucs:


Exported events:

19/09/2007 23:53 [Guard] Malware found
      Virus or unwanted program 'TR/Dldr.Bagle.DS.2 [TR/Dldr.Bagle.DS.2]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP387\A0043421.sys.
      Action performed: Delete file

19/09/2007 23:53 [Guard] Malware found
      Virus or unwanted program 'TR/Agent.bmn.1 [TR/Agent.bmn.1]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP386\A0043297.ocx.
      Action performed: Delete file

19/09/2007 23:53 [Guard] Malware found
      Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0043038.exe.
      Action performed: Delete file

19/09/2007 23:52 [Guard] Malware found
      Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042849.EXE.
      Action performed: Delete file

19/09/2007 23:52 [Guard] Malware found
      Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042848.EXE.
      Action performed: Delete file

19/09/2007 23:52 [Guard] Malware found
      Virus or unwanted program 'TR/Dldr.Bagle.DS.2 [TR/Dldr.Bagle.DS.2]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042207.sys.
      Action performed: Delete file

19/09/2007 23:52 [Guard] Malware found
      Virus or unwanted program 'WORM/Bagle.Gen [WORM/Bagle.Gen]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0042206.exe.
      Action performed: Delete file

19/09/2007 23:51 [Guard] Malware found
      Virus or unwanted program 'TR/Bagle.Gen.B [TR/Bagle.Gen.B]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0040192.exe.
      Action performed: Delete file

19/09/2007 23:51 [Guard] Malware found
      Virus or unwanted program 'TR/Bagle.Gen.B [TR/Bagle.Gen.B]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0040191.exe.
      Action performed: Delete file

19/09/2007 23:51 [Guard] Malware found
      Virus or unwanted program 'TR/Bagle.Gen.B [TR/Bagle.Gen.B]'
      detected in file 'C:\System Volume 
      Information\_restore{8EC02D7C-0FA2-4D69-9E7A-CF84D35C2D85}\RP385\A0040190.exe.
      Action performed: Delete file

papyber · Answer

je ne sais pas trop si cela t'est d'une utilité primordiale, mais perso, je virerais car il y avait de l'infection....
C:\Program Files\Ripp-It Codec Pack\codecs\CoreAAC-1.2.0.575-3.exe
comme je ne connais pas, je te laisse le choix!

le reste ce sont des courriers infectés
C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)
C:\Documents and Settings\Meyer\Local Settings\Application Data\Identities\{EC746496-1212-4CBC-AABA-045026D5D0D2}\Microsoft\Outlook Express\Boîte d'envoi.dbx=>(message 0)=>[Subject: Virus][Date: Tue, 18 Sep 2007 14:45:35 +0200]=>(MIME part)=>HIDR.EXE.Muestra EliBagle v10.53 
perso, je viderais cette boîte de tout ce qui n'est pas important ou vital pour toi...

le reste c'est ta restauration système, y compris les alertes de Antivir!!on va régler ce problème!!

as tu encore des soucis?

si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
conserve néanmoins ccleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
réactive ta restauration
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
 
et bon surf

Mecha · Answer

Pour Ripp-it codec pack c'est dommage mais j'ai préféré supprimer... je réessayerais de l'installer en esperant que l'infection date d'aprés son installation.
Pour les messages c'est moi qui ai bêtement oublié de supprimer les doubles envoyés du fichier infecté pour elibagla -_-'

Sinon pour l'instant pas de soucis.

J'avais déjà la version 1.4 de Ccleaner, je vien de dl la version 2.00 dont tu m'as donné le lien.

A par ça, sur mon ordi il me reste encore a-squared free et Ad-aware 2007, je peu aussi intaller spybot et Avg mais je ne pense pas qu'en avoir autant soit vraiment utile alors quel est la meilleure combinaison dans les 4?

Mecha · Answer

J'ai vu que CCleaner a des options de réparation des erreures est-ce un bon truc à utiliser ou cela est-il risqué?

papyber · Answer

je vais te dire, ce qui pour moi est le mieux...c'est ce que j'ai!! mdr!!!
antivirus
pare feu
Spybot Search and Destroy
Avg antispyware
SpywareBlaster, pour éviter les activex nuisibles...
Firefox pour la navigation, 
lorsque je dois utiliser IE7, je le prends avec les protections au maximum, pop up bloqués, et filtre antihameçonnage enclenché!!
Thunderbird en messagerie, pour éviter le spam (antispam intégré)...

AdAware est plutôt pas mal, mais incomplet, il lui lui ajouter Spybot, ASquared n'est pas mauvais, son défaut, les faux positifs, c'est pourquoi je lui préfère AVG, mais beaucoup de "helpers" préfèrent cet anti spyware, donc tu peux très bien le conserver avec Ad aware et Spybot..
le principal, ce n'est pas de les avoir sur ton Pc, c'est de scanner ton PC régulièrement avec!!! lol !!! mdr!!!

pour ccleaner, la fonction réparation est utile mais il faut toujours accepter les sauvegardes proposées au cas ou il nettoierait trop fort!!afin de revenir en arrière!!!
je l'utilise régulièrement, pour netoyer cookies et fichiers temp...et une fois de temps en temps, principalement après une désinstallation pour corriger les Hkey orphelines qui auraient pu être laissées lors de cette désinstallation...

ne pas oublier les mises à jour de sécurité de Windows et de Java est important aussi
un lien sur lequel la plupart est indiquée
https://forum.pcastuces.com/sujet.asp?f=25&s=25842

voilà si tu as des questions....

papyber · Answer

pour tes codecs, afin de t'assurer que c'est sain avant de l'installer, tu le scannes avec tes anti, virus et spywares et si c'est propre, tu peux les installer....

Mecha · Answer

Voilà j'ai installé avg et je rajouterais spybot plus tard, là je défragmente...et y en a pour des heures, aprés je verrais pour le point de restauration.
Est-ce que spyblaster est efficace? j'ai lu qu'il bloquait les spyware avant leur installation.
A quelle fréquence environ devrais-je faire un scan complet avec tous mes logiciels?
Je ne sais pas si j'arriverais à repasser aujourd'huit (en plus je préfère ne plus toucher à l'ordi le temps de la défragmentation...) alors sans doute à demain^^

papyber · Answer

Est-ce que spyblaster est efficace? j'ai lu qu'il bloquait les spyware avant leur installation.
j'en suis très content, il bloque les activex avant leur installation, il est très efficace et se fait oublier...
un tuto
http://manuelsdaide.com/SpyBalster/SpyBl.htm
A quelle fréquence environ devrais-je faire un scan complet avec tous mes logiciels? 
cela dépend de ton surf, si tu vas peu sur internet et pas sur des sites "olé", si tu ne télécharges pas ou peu, une fois par semaine ou toutes les 2 semaines
l'antivirus, tu le paramètres pour scanner tous les jours le PC, à une heure où il est allumé mais pas utilisé... (les repas, par ex)
en tout cas, le + souvent possible!!
et toujours mettre à jour l'antispyware ou l'antivirus avant de scanner le PC

un tuto sur le risque du P2P et du crack
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

bon surf, en sécurité

Mecha · Answer

Voilà j'ai installé spyware blaster et Spybot... mon ordi à jamais été autant protégé lol.

Avec CCleaner je n'arrive pas à réparer cette erreur:

Icone par défaut Invalide
C:\Program Files\Zone Labs\ZoneAlarm\UpdClient.exe,-279
HKCR\ZAMailSafe\DefaultIcon

Tu saurais comment je doit m'y prendre?

Et depuis la défragmentation j'ai un fichier Thumbs.db sur le bureau est-ce que je peu le supprimer sans risque?

A part ça plus de problèmes.

Mecha · Answer

Ha non en fait j'en ai partout des Thumbs maintenant...

papyber · Answer

oui c'est parce que je t'avais fait afficher tes fichiers et dossiers cachés
il ne faut surtout pas les supprimer!! ce sont des fichiers indispensales
recache tes fichiers et dossiers
Ouvrir un dossier, n'importe lequel. Aller dans : 
Outils/Options des dossiers/Affichage et 
- décocher "afficher les dossiers et fichiers cachés", 
- décocher "masquer les extensions des fichiers dont le type est connu". 
- cocher masquer les fichiers protégés du système d'exploitation (recommandé)" 
"appliquer" et "ok"

Mecha · Answer

Ha c'est bien mieux maintenant^^
Merci beaucoup pour ton aide et ta patience, je n'aurais jamais réussi à remettre mon ordi en état tout seul ^^

papyber · Answer

maintenant bon surf, en sécurité
je ne te dis pas à bientôt
mdr!!!!!!!!

Mecha · Answer

Oui mdr^^
C'est à moi de mettre le sujet en "Résolu"(avec une option que j'aurais ratée) ou c'est les Modos qui le feront?(c'est la première fois que je vien sur ce forum)

papyber · Answer

je crois qu'il y a une possibilité de mettre "résolu", c'est toi qui doit le faire....

Ellyn · Answer

Zut je crois que ce n'est pas faisable pour les anonymes... 
Même si ils s'inscrivent...(mais ça je m'y attendais un peu... rien ne prouve que je soit réellement moi^^)
En plus je n'ai plus le même pseudo (Déjà pris :'(  )
Un Modérateur devrais pouvoir le faire mais je ne sais pas comment le/les contacter...

Problèmes multiples et prise de tête

34 réponses

Votre réponse

Discussions similaires

Newsletters