Encore HLDRRR.exe ! il ne veut pas partir

Résolu
lechampion Messages postés 30 Statut Membre -  
 latifou -
Bonjour,
hi all et bonne année à tous
chez moi le hldrrr.exe ne s'efface pas !
malgres l'installation d elibagle : il ne le trouve pas
quand je scan le reg edit je le trouve et je l'efface mais il reviens à chaque demarrage et bloque l'antivurs et la connection internet !
avez vous un autre issus ?
il se trouve dans c:\windows\system32\drivers\hldrrr.exe mais pas visible dans ce repertoire
avec hijack il ne le trouve pas non plus !

il doit avoir un autre logiciel qui le controle !!!!

help please ?
Configuration: Windows XP
Internet Explorer 7.0

12 réponses

  1. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    --

    S"V"P. ((Veuillez lire attentivement les recommandations.))
    ((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
    Salut !

    Peut tu mettres justement HJKTS mais renommes-le en lechampion .exe
    0
  2. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    --

    S"V"P. ((Veuillez lire attentivement les recommandations.))
    ((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

    Bon tu sembles pas être la !
    Installes Ccleaner :Sans la barre Yahoo! Options avancés/ décoches la cases des 48 heures.

    Alors, oui un log, mais... Tu as surement des traces dans le log. Et PE des process < tuer, je veux voir.

    En mode sans echec cette fois essayes de refaire la manip
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    Et nettoies plusieurs fois avec Ccleaner + registres.

    Postes le rapport qui se trouvera dans :C infosat.text.
    0
  3. lechampion Messages postés 30 Statut Membre 2
     
    merci jalobservateur !
    voci un log de hijak

    Logfile of HijackThis v1.99.1
    Scan saved at 05:06:39, on 02/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\vphc700.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\MICROS~4\rapimgr.exe
    C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
    O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  4. lechampion Messages postés 30 Statut Membre 2
     
    je vais le refaire en mode sans echechs , la je l ai fait en mode normale

    Wed Jan 02 01:58:41 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed Jan 02 01:59:03 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\drivers\down\93250765.EXE --> Eliminado Bagle

    Nº Total de Directorios: 4268
    Nº Total de Ficheros: 53081
    Nº de Ficheros Analizados: 8469
    Nº de Ficheros Infectados: 1
    Nº de Ficheros Limpiados: 1

    Wed Jan 02 02:02:59 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4268
    Nº Total de Ficheros: 53080
    Nº de Ficheros Analizados: 8468
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 02:15:38 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Wed Jan 02 02:15:41 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4273
    Nº Total de Ficheros: 53107
    Nº de Ficheros Analizados: 8477
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 03:01:37 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed Jan 02 03:01:38 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4251
    Nº Total de Ficheros: 52907
    Nº de Ficheros Analizados: 8380
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 03:34:45 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed Jan 02 03:34:55 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad E:\

    Nº Total de Directorios: 2360
    Nº Total de Ficheros: 43108
    Nº de Ficheros Analizados: 1369
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 03:36:57 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4272
    Nº Total de Ficheros: 53151
    Nº de Ficheros Analizados: 8470
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:24:53 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed Jan 02 04:24:56 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4268
    Nº Total de Ficheros: 53088
    Nº de Ficheros Analizados: 8469
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:28:33 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:28:48 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad E:\

    Nº Total de Directorios: 2364
    Nº Total de Ficheros: 43177
    Nº de Ficheros Analizados: 1370
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:30:01 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:30:02 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:30:03 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:30:04 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:30:04 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:30:05 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:32:35 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

    Wed Jan 02 04:32:38 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4268
    Nº Total de Ficheros: 53088
    Nº de Ficheros Analizados: 8468
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:42:29 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 1923
    Nº Total de Ficheros: 29943
    Nº de Ficheros Analizados: 407
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    Exploración Detenida por el Usuario.

    Wed Jan 02 04:42:43 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad E:\

    Nº Total de Directorios: 2364
    Nº Total de Ficheros: 43177
    Nº de Ficheros Analizados: 1370
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:43:54 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 04:43:55 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 32
    Nº Total de Ficheros: 371
    Nº de Ficheros Analizados: 29
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 05:02:22 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed Jan 02 05:02:23 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4272
    Nº Total de Ficheros: 53108
    Nº de Ficheros Analizados: 8477
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Wed Jan 02 08:52:21 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Wed Jan 02 08:52:23 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4274
    Nº Total de Ficheros: 52810
    Nº de Ficheros Analizados: 8477
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    --

    S"V"P. ((Veuillez lire attentivement les recommandations.))
    ((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

    Salut! Je me lève à peine...
    Important!
    Supprimes ta version de hjkts!!!
    Mets celle-ci:
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    ET Renommes-le en (lechampion.scanner)
    Puis remets un nouveau log stp.
    0
  7. lechampion Messages postés 30 Statut Membre 2
     
    Ok
    bonjour
    je susi touché car tu te reveilles avec mon pb !

    je vais renommer et reinstaller, ca veut dire que el virus EST TROP au courant des nos solutions !

    je te donnerai de mes nouvelles dans 3 h de là !

    Grand Merci encore !
    0
  8. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    --

    S"V"P. ((Veuillez lire attentivement les recommandations.))
    ((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

    Mais je crois qu'il en a fait un bout ici regardes :

    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Wed Jan 02 01:59:03 2008
    EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\WINDOWS\system32\drivers\down\93250765.EXE --> Eliminado Bagle

    Nº Total de Directorios: 4268
    Nº Total de Ficheros: 53081
    Nº de Ficheros Analizados: 8469
    Nº de Ficheros Infectados: 1
    Nº de Ficheros Limpiados: 1
    0
  9. lechampion
     
    en fait elibagle ne les voit plus !
    j'ai telecharger antivirt qui le detect et l'enleve (voir report)
    mais le HIC c'est que reg seeker voit toujours des traces de hldrrr et srosa !!! meme si je les efface ! qu'en pensez vous ?

    AntiVir PersonalEdition Classic
    Report file date: 2008-01-03 22:04

    Scanning for 999037 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: SYSTEM
    Computer name: ISMAIL-456CFCCF

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:36:36
    ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 11:29:02
    ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28/12/2007 12:06:52
    ANTIVIR3.VDF : 7.0.1.186 71168 Bytes 02/01/2008 15:50:12
    AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 19/12/2007 16:09:00
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 02/01/2008 15:50:16
    AVPACK32.DLL : 7.6.0.2 360488 Bytes 19/12/2007 16:09:04
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: F:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: 2008-01-03 22:04

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned
    Scan process 'NMIndexingService.exe' - '1' Module(s) have been scanned
    Scan process 'locator.exe' - '1' Module(s) have been scanned
    Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
    Scan process 'nTuneService.exe' - '1' Module(s) have been scanned
    Scan process 'mdm.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'rapimgr.exe' - '1' Module(s) have been scanned
    Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned
    Scan process 'wcescomm.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
    Scan process 'vphc700.exe' - '1' Module(s) have been scanned
    Scan process 'soundman.exe' - '1' Module(s) have been scanned
    Scan process 'rundll32.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    34 processes with 34 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'E:\'
    [NOTE] No virus was found!
    Boot sector 'F:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '24' files ).

    Starting the file scan:

    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\System Volume Information\_restore{161A9940-A15A-4D67-AB50-85B266756424}\RP278\A0021857.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.AAA
    [INFO] The file was deleted!
    C:\System Volume Information\_restore{161A9940-A15A-4D67-AB50-85B266756424}\RP278\A0022857.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.AAA
    [INFO] The file was deleted!
    C:\System Volume Information\_restore{161A9940-A15A-4D67-AB50-85B266756424}\RP279\A0023890.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.AAA
    [INFO] The file was deleted!
    C:\System Volume Information\_restore{161A9940-A15A-4D67-AB50-85B266756424}\RP279\A0023891.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen
    [INFO] The file was deleted!
    C:\System Volume Information\_restore{161A9940-A15A-4D67-AB50-85B266756424}\RP279\A0024073.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.AAA
    [INFO] The file was deleted!
    C:\System Volume Information\_restore{161A9940-A15A-4D67-AB50-85B266756424}\RP279\A0024074.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.AAA
    [INFO] The file was deleted!
    C:\_OTMoveIt\MovedFiles\WINDOWS\system32\drivers\hldrrr.exe
    [DETECTION] Contains detection pattern of the worm WORM/Bagle.AAA
    [INFO] The file was deleted!
    Begin scan in 'E:\' <data>
    Begin scan in 'F:\' <film et dvd>

    End of the scan: 2008-01-03 22:49
    Used time: 45:39 min

    The scan has been done completely.

    6358 Scanning directories
    353181 Files were scanned
    7 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    7 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    353174 Files not concerned
    14884 Archives were scanned
    1 Warnings
    54 Notes
    0
  10. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    --

    S"V"P. ((Veuillez lire attentivement les recommandations.))
    ((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

    salut ! j'en pense que je ne suugère pas Avira Antivir pour rien Loll!

    Fais un bon coup de Ccleaner et remets moi un log HJTS Nommé le champion et si tout est beau ,ensuite tu vas désactiver la resto du :
    C:\System Volume Information\_restore
    Et créer un point nouveau de resto propre.
    Je te donnerai les indics complémentaires à la suite.
    0
  11. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    --

    S"V"P. ((Veuillez lire attentivement les recommandations.))
    ((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

    Problème resolu pour moi aussi !!!!

    http://www.commentcamarche.net/forum/affich-2689597-virus-hldrrr-exe?page=2#0
    0
  12. lechampion
     
    Merci a lot , jalobservateur

    cclceaner ne troucve rien mais regseeker : les trouve tout le temsp meme apres delete !!!!!!

    restore est desactivé

    ci joint log highjak , le file ttt.exe est hihjak

    MErci encrore et chapeau bas pour le sens du service et de la dispo

    pour antivir, il est pas gratos et limité à 6 mois !!!!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:13, on 2008-01-04
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\vphc700.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\MICROS~4\rapimgr.exe
    C:\Program Files\RamBoost XP\rambxpfr.exe
    C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
    C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
    C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Documents and Settings\Celine\Bureau\Bureau\HJTInstall.exe
    C:\Program Files\ttt\ttt\tttt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [RamBoostXp] "C:\Program Files\RamBoost XP\rambxpfr.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant (2).lnk = ?
    O4 - Global Startup: PC Alert 4 (2).lnk = ?
    O4 - Global Startup: Windows Live Messenger (2).lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  13. latifou
     
    Salut a tous, je suis dans le meme cas infecté par hldrrr.exe et srosa.sys et j'ai essayé de les supprimer en mode normal avec killbox en mode sans echec aussi. j'ai bien suprimé le dossier kill box de C:\ mais au redemarrge ils sont toujours la ...
    rien a faire !!

    Est ce que quelqu'un peut m'aider? MERCCI
    0