Virus win32:beagle-yn[wrm]

Question

Bonjour, je viens de me faire prendre par un virus sur mon nouveau pc et j'ai la mort franchement pourtant j'avais avast.. il semblerait que le virus soit le suivant win32:beagle-yn[wrm] d'après le scan disc d'avast de mon économiseur d'écran.. car en effet il met impossible de m'en servir sa me met un genre de avast n'est pas un application win32 valide.. donc voilà où j'en suis et je ne m't connais vraiment pas beaucoup en informatique. Je sais pas si c'est un problème mais je suis administrateur du pc car j'ai pas fait d'autre session et mon disque dure n'est pas partagé en 2!! J'espère que quelqu'un pourra m'aider à résoudre ce problème.. Merci d'avance!! j'ai fait un navilog et un HIJACKTHIS en dessous mais j'y comprend rien si sa peux vous aider: Search Navipromo version 3.4.0 commencé le 17/01/2008 à 0:06:45,73 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Postez ce rapport sur le forum pour le faire analyser !!! !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!! Outil exécuté depuis C:\Program Files avilog1 Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO Microsoft Windows Vista 6.0.6000 Internet Explorer : 7.0.6000.16575 Système de fichiers : NTFS Executé en mode normal *** Recherche Programmes installés *** *** Recherche dossiers dans C:\Windows *** *** Recherche dossiers dans C:\Program Files *** *** Recherche dossiers dans C:\ProgramData *** *** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs *** *** Recherche dossiers dans C:\Users\Axel\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs *** *** Recherche dossiers dans C:\Users\Axel\AppData\Local\virtualstore\Program Files *** *** Recherche dossiers dans C:\Users\Axel\AppData\Roaming *** *** Recherche avec Catchme-rootkit/stealth malware detector par gmer *** pour + d'infos : http://www.gmer.net Fichier(s) caché(s) : C:\Windows\System32\drivers\hldrrr.exe *** Recherche avec GenericNaviSearch *** !!! Tous ces résultats peuvent révéler des fichiers légitimes !!! !!! A vérifier impérativement avant toute suppression manuelle !!! * Recherche dans C:\Windows\system32 * * Recherche dans C:\Users\Axel\AppData\Local\Microsoft * * Recherche dans C:\Users\Axel\AppData\Local * *** Recherche fichiers *** *** Recherche clés spécifiques dans le Registre *** *** Module de Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche nouveaux fichiers Instant Access : 2)Recherche Heuristique : * Dans C:\Windows\system32 : * Dans C:\Users\Axel\AppData\Local\Microsoft : * Dans C:\Users\Axel\AppData\Local : 3)Recherche Certificats : Certificat Egroup absent ! 4)Recherche fichiers connus : *** Analyse terminée le 17/01/2008 à 0:16:30,59 *** Et un HIJACKTHIS : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:23:51, on 17/01/2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16575) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32 askeng.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32 undll32.exe C:\Windows\System32 undll32.exe C:\Windows\WindowsMobile\wmdc.exe C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe C:\Windows\System32\mobsync.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Windows\system32\conime.exe C:\Windows\system32\DllHost.exe C:\Windows\explorer.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32 vsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

corto69 · Answer

Re bonsoir plutôt je viens de finir un antivirus en ligne qui lui me dirais plus que c'est: W32/Bagle.HX.worm
Le logiciel en ligne est :Panda total scan.il met des truc sur se virus mais c'est en anglais et j'y comprend rien non plus.. je vous le met quand même..

w32/bagle.hx.w... Virus Latent Hide + Info  
c:\windows\system32\wintems.exe 
hkey_current_user\software\datetime4 


En détail technique y mette sa:

Effects 
Bagle.HX carries out the following actions:

It has rootkit functionalities, which allow it to hide files, processes and Windows Registry entries.
It attempts to disable the following services:

A
Aavmker4, ABVPN2K, ADBLOCK.DLL, ADFirewall, AFWMCL, Ahnlab, alerter, AlertManger, AntiVir, AntiyFirewall, ARP.DLL, aswMon2, aswRdr, aswTdi, aswUpdSv, Ati, avast!, AVEService, AVExch32Service, AvFlt, Avg7Alrt, Avg7Core, Avg7RsW, Avg7RsXP, Avg7UpdSvc, AvgCore, AvgFsh, AVGFwSrv, AvgFwSvr, AvgServ, AvgTdi, AVIRAMailService, AVIRAService, avpcc, AVUPDService, AVWUpSrv, AvxIni, awhost32.

B
backweb, BackWeb, Bdfndisf, bdftdif, bdss, BlackICE, BsFileSpy, BsFirewall, BsMailProxy.

C
CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, CONTENT.DLL.

D
DefWatch, DNSCACHE.DLL, drwebnet, dvpapi, dvpinit.

E
ewido.

F
firewall, F-Prot, fsbwsys, FSDFWD, F-Secure, FSFW, FSMA, FTPFILT.DLL, FwcAgent, fwdrv.

G
Guard.

H
HSnSFW, HSnSPro, HTMLFILT.DLL, HTTPFILT.DLL.

I
IMAPFILT.DLL, InoRPC, InoRT, InoTask, Ip6Fw, Ip6FwHlp.

K
KAVMonitorService, KAVSvc, KLBLMain, KPfwSvc, KWatch3, KWatchSvc.

M
MAILFILT.DLL, McAfee, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, Microsoft, MonSvcNT, MpfService.

N
navapsvc, NDIS_RD, Ndisuio, Network, nipsvc, NISSERV, NISUM, NNTPFILT.DLL, NOD32ControlCenter, NOD32krn, NOD32Service, Norman, Norton, NPDriver, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService.

O
OfcPfwSvc, Outbreak, Outpost, OutpostFirewall.

P
PASSRV, PAVAGENTE, PavAtScheduler, PAVDRV, PAVFIRES, PAVFNSVR, Pavkre, PavProc, PavProt, PavPrSrv, PavReport, PAVSRV, PCC_PFW, PCCPFW, PersFW, Personal, POP3FILT.DLL, PREVSRV, PROTECT.DLL, PSIMSVC.

Q
qhwscsvc, Quick.

R
ravmon8, RfwService.

S
SAVFMSE, SAVScan, SBService, schscnt, SECRET.DLL, SharedAccess, SmcService, SNDSrvc, SPBBCSvc, SpiderNT, SweepNet, SWEEPSRV.SYS, Symantec.

T
T_H_S_M, The_Hacker_Antivirus, tm_cfw, Tmntsrv, TmPfw, tmproxy, tmtdi.

V
V3MonNT, V3MonSvc, Vba32ECM, Vba32ifs, Vba32Ldr, Vba32PP3, VBCompManService, VexiraAntivirus, VFILT, VisNetic, vrfwsvc, vsmon, VSSERV.

W
WinAntivirus, WinRoute, wuauserv, wuauserv.

X
xcomm.

These services belong to several security tools, such as antivirus programs and firewalls, among others.
It attempts to download a file from the following websites:
http://8marta.ru/img/path
http://asvt.ru/images
http://avistrade.ru/prog/img/proizvod
http://calimasurf.com/images/base/orig
http://celebrationsinspain.com/images
http://coral-adventures.com/images
http://dearruthie.com/images
http://dmax.ru/images
http://efpa-eg.net/images
http://ferrumcomp.ru/images
http://financialbusiness.ca/images
http://golden-ring.net/images
http://goodbathscents.com/images
http://jamminjo.com/images
http://kmold.biz/images
http://kokon.com/images
http://komt.ru/images/
http://magian.ru/images
http://merkur-akademie.de/images
http://mir-vesov.ru/p/lang/CVS
http://monomah-city.ru/vakans
http://www.nakorable.ru/
http://optimsasia.com/images
http://pvcps.ru/images
http://raz-naraz.wz.cz/html/fanklub
http://redshop.ru/images
http://roszvetmet.com/images
http://schiffsparty.de/bilder/uploads
http://sdom.ru/images
http://service6.valuehost.ru/images
http://spbso.ru/images
http://stroyindustry.ru/service/construction
http://tarkan.ru/images
http://transaerotours.ru/
http://trehrechie.ru/images
http://ww17.turnstylesticketing.com/images
http://twilightzone.cz/distro
http://vladzernoproduct.ru/control/sell/t
http://vniipo.ru/images/_notes
http://voelckergmbh.de/images
http://vserozetki.ru/images
http://vtr-spb.ru/fp/mikrobus/gazel
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau
http://www.belteh.ru/
http://www.bmblawfirm.com/images
http://www.deadlygames.de/DG/BF/BF-Links/clans
http://www.emil-zittau.de/karten
http://www.enertelligence.com/playitsafe/images
http://www.enkor.ru/images
http://www.etype.hostingcity.net/mysql_admin_new/images
https://www.g-antssoft.com/
http://www.ipromocionales.com/images
http://www.katjas-reisen.de/blog/images/colors
http://www.levada.ru/htmlarea/images
http://www.mirage.ru/sport/omega/pic/omega
https://moscowapartments.ru/
http://www.ordendeslichts.de/intern
http://www.pechki.ru/images
http://www.rhone.ch/images
http://www.zdom.ru/
This file could be of any nature, including malware.
Infection strategy 
Bagle.HX creates the following files:

HIDR.EXE, in C:\Documents and Settings\%username%\Application Data\hidires. This file is a copy of the worm.
For further references, the variable %path% will be used instead of the full name.
M_HOOK.SYS, in %path%. This file is detected as Rootkit/Akill.
WINTEMS.EXE in the Windows system directory.
 

Bagle.HX creates the following entries in the Windows Registry:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
drvsyskit = %path%\hidr.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
german.exe = %sysdir%\wintems.exe
where %sysdir% is the Windows system directory.
By creating these entries, Bagle.HX ensures that it is run whenever Windows is started.
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
port=5b7e
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
wdrn=1
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
uid= <random>
 

Bagle.HX creates the following path in the Windows Registry:

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ m_hook
with the necessary entries in order to register itself as a system service.

This service provides the worm with rootkit functionalities, which allow it to hide files, processes and Windows Registry entries.

Further Details  
Bagle.HX is written in the programming language Visual C++. This worm is 15,876 bytes in size.


En solution y mette sa:

How to remove Bagle.HX? 
As Bagle.HX uses rootkit techniques in order to hide its files and Windows Registry entries, it is necessary to follow the routine below in order to eliminate it:

Restart the computer in the Safe mode. This way, all the files and Windows Registry entries will be visible, as the rootkit is not activated.
Then, carry out an analysis with Panda Antivirus or Panda ActiveScan and eliminate it by following the program's instructions.
 

Additional notes:

After deleting this malware by following the specified steps, if your computer runs Windows Millennium, click here to find out how to eliminate it from the _Restore folder.
After deleting this malware by following the specified steps, if your computer runs Windows XP, click here to find out how to eliminate it from the _Restore folder.
How can I protect my computer from Bagle.HX? 
In order to keep your computer protected, bear the following tips in mind:

Panda Software's TruPreventTM Technologies detected and successfully blocked Bagle.HX, without prior knowledge of the malicious code.
Install a good antivirus in your computer. Click here to get the Panda antivirus solution that best suits your needs.
Keep your antivirus updated. If automatic updates are available, configure your antivirus to use them.
Keep your permanent antivirus protection enabled at all times.
For more detailed information about how to protect your computer against viruses and other threats, click here.


En faite je vien de voir j'en ais plein je sais plus quoi faire...

jorginho67 · Answer

Salut ! virus ELIBAGLA

 Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

tout en bas de cette page tu trouveras un outil à télécharger,clique sur "escargar Elibagla" 
(le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
> laisse la case "eliminar ficheros automaticamente" cochée
> clique sur"explorar"
> laisse-le travailler
> poste le rapport final qui sera dans c:\infosat.txt

 Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

corto69 · Answer

Salut merci d'avoir répondu aussi vite c'est sympa.. j'ai fait se que tu m'as dit. Tu sait se que sait ses virus et comment j'ai pu l'avoir?? Au faite oui j'ai bien eu un message similaire.. Pour l'instant j'ai rien d'autre à faire?? 

Bon je te remerci je vais dormir je reviendrais sur le site demain vers 12h..

Merci

jorginho67 · Answer

Salut !
voici quelques manips' à faire pour la suite.........
poste le rapport final Elibagla qui sera dans c:\infosat.txt

Ensuite :

IMPORTANT :
Ne pas désactiver la restauration système, tant que le pc n'est pas propre. 

télécharge HIJACKTHIS en cliquant sur ce lien
 http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Enregistre HJTInstall.exe sur ton bureau.
 Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe 

Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
 Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

IMPERATIF !!
avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!


to be continued..........

corto69 · Answer

Voici le rapport Elibagla:


	  Thu Jan 17 02:32:48 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 02:41:04 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\158777.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\46441.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4673977.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4734708.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\53133.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\67922.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\84848.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\96205.EXE --> Eliminado Bagle

Nº Total de Directorios:   12056
Nº Total de Ficheros:      80660
Nº de Ficheros Analizados: 12380
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados:  8

	  Thu Jan 17 02:45:10 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   12056
Nº Total de Ficheros:      80607
Nº de Ficheros Analizados: 12371
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 02:59:55 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 03:00:04 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:00:09 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:00:16 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:00:28 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:01:04 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 03:01:22 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   12040
Nº Total de Ficheros:      80447
Nº de Ficheros Analizados: 12368
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:02:51 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 07:53:28 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 07:55:46 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

corto69 · Answer

Voici le rapport HijackTHIS: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:23:51, on 17/01/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

corto69 · Answer

En tout cas merci de m'aider c'est franchement cool car je sais vraiment pas comment faire.. Vous pensez que je vais arriver à m'en débarrasser?? C'est quoi ce virus?? Je l'ai attraper comment?? Au faite comme je viens juste d'avoir mon pc j'ai pas eu le temps de faire une copie de restauration de Vista j'espère que sa dérangera pas??? si vous avez besoin de savoir ce que j'ai comme pc c'est un Packard bell MB88-P009. Voilà j'espère à très vite pour que vous puissiez m'aider je suis la toute l'aprem!
 Merci.

jorginho67 · Answer

il vas faloir que je m'absente, je reviens vers 16h00, ne t'inquietes pas, on va l'avoir cette bestiolle  ;-)
juste que comme c'est vista, sa risque d'etre plus dur, mais s'il le faut, j demaanderais à un spécialiste vista !

@ +

corto69 · Answer

Merci franchement!!

jorginho67 · Answer

re :
tu es sur que Avast est activé ?

le seul exe avast qui apparait est ashDisp.exe

c'est celui qui affiche l' icône dans la barre des tâches.
il reste des vestiges de Norton... tu l'as viré pour avast ? il faudra mieux nettoyer après !

sa me met un genre de avast n'est pas un application win32 valide  ça te le fait encore ? 
win32:beagle-yn[wrm] à pour caracteristique de détruire les antivirus entre autre....

il faudra réinstaller Avast !
prends le ici, ensuite 
Pour supprimer proprement  Avast

 démarrer /panneau de config/ ajout et suppression de programmes ( je ne sais pas si c'est pareil pour vista )
 redémarre ton pc comme demandé et supprime le dossier " C:\Program Files\Alwils Software "

Ou bien, tu peux aussi utiliser le désinstalleur d Avast: https://www.avast.com/fr-fr/uninstall-utility 
http://www.commentcamarche.net/telecharger/telecharger 151 avast

Seulement après, tu réinstalles Avast que tu auras téléchargé !
tiens moi au courant !
si tu n'arives pas à l'installer, c'est qui il à encore une infection .

@ suivre.................

peter_schmeichel@hotmail.fr · Answer

j'ai essayer d'installer apres avoir desinstaller et redémarrer et a la fin de l'installation sa a couper et y a elibag qui c'est mis en route.. je viens de rééssayer mais cette fois ci l'installation sa bloque à la fin..

peter_schmeichel@hotmail.fr · Answer

au faite si tu as msn je peux te filer une adresse si tu pense que sa ira plus vite comme sa..

jorginho67 · Answer

peter_schmeichel@hotmail.fr, tu es  corto69  ? 

si oui, je ne me sers pas de MSN !
on peux rester ici !

je regarde, je reviens plus tard...

peter_schmeichel@hotmail.fr · Answer

oui oui c moi!lol

peter_schmeichel@hotmail.fr · Answer

j'ai trop pas de chance sur mon otre pc j'ai du le formater et quand je reinstalle mon xp ba il me demande la clef dactivation mais elle marche plus celle que j'avais.. c'est vraiment pas mon jour!! tu c'est pas ou je peux en trouver une ?? apparement je l'ai donné à trop de gens du coup elle est plus valable..

peter_schmeichel@hotmail.fr · Answer

c'est bon heuresement j'avais 2 windows installé dessus du coup j'utilise le xp porfessionnel fin de discussion sur ce sujet par contre sur mon autre je panique car je sais vraiment pas quoi faire avec ce virus.. je compte sur toi!!lol

Merci encore (jvais pas tarder à partir jrevien demain toute la journée si tu peux me dire les heures où tu seras présent enfin si sa t'embète pas trop..)

jorginho67 · Answer

OK ! je serais là a partir de 09h00

corto69 · Answer

Salut jorginho67.

Désolé ce matin j'ai eu un empechement donc j'ai pas pu être présent...

Par contre je suis là tout l'aprem.. alors si tu es disponible on peut se mettre au boulot..lol

En attente d'un message de ta part pour savoir ce qu'il faut que je fasse je te souhaite une bonne journée.

jorginho67 · Answer

salut corto ...

on continue !

Pour Vista !
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
regarde ce tuto http://www.libellules.ch/adc.php

Procédure "clean" de Malekal_morte sous VISTA.

1) Télécharge « clean.zip »
   http://www.malekal.com/download/clean.zip 

 Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
   http://img227.imageshack.us/img227/9384/screenshot149ih1.gif 

2) Ouvre le dossier « clean » qui se trouve sur ton bureau.
   Clic-droit sur l'icône ou l'EXE et choisir "Exécuter en tant qu'administrateur",
   Double-clic sur « clean.cmd ».

 Choisis l’option 1.
  Clean va travailler. Il va produire un rapport.

Il se trouve ici : Clic sur « Poste de travail » , double-clic sur disque « C / » double-clic sur « rapport_clean.txt » en faire un copier/coller.


to be continued.....

corto69 · Answer

Ma case était déjà desactiver et pourtant j'ai quand même le contrôle de compte qui se met en route à chaque fois..c'est bizar je fais quoi alors??

jorginho67 · Answer

re !
tu as reussi à faire le scan Cleanzip ?
essaye comme ça...

corto69 · Answer

sa me met pas ton icone quand je decompresse sa me met un fichier et ya des truc dedans mais y a pas marquer clean.exe mais clean.cmd

jorginho67 · Answer

je me suis peut etre gourré de speach...
a vouloir etre le plus clair possible, souvent on complique........   ;o)))
essaye comme ceci :

Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 1

Puis Poste le rapport qui se trouve ici C:\rapport_clean.txt

corto69 · Answer

sa me met que des accés refusé et je trouve pas le rapport..

corto69 · Answer

et si je met executer en tant que administrateur sa met met appyer sur une touche dans lecran noire a chaque foi..

corto69 · Answer

je suis à la rue j'y comprend rien...j'espere qu'on va y arriver quand même..

corto69 · Answer

Quand j'ouvre en tant qu'administrateur sa me met sa... apres sa quitte

files missed, did you unzip the whole archive?
The Script can not further be executed..
Appuyez sur une touche pour continuer...
Appuyez sur une touche pour continuer...

quand j'ouvre normal sa me met sa:

je selectionne 1 et après sa me met à chaque truc accés refuser et après sa quitte tout seul...

J'ai vraiment l'impression que je suis nul!!lol

jorginho67 · Answer

tu as bien désactivé le contrôle des comptes utilisateurs  ? (tu le réactiveras après ta désinfection): 
regarde ce tuto http://www.libellules.ch/adc.php

tu est bien l'admnin' du pc ? 
il faut que tu décoche la case il me semble

corto69 · Answer

oui c'est marquer mon prénom et en dessous administrateur..

jorginho67 · Answer

désactive le contrôle des comptes utilisateurs  (tu le réactiveras après ta désinfection):
regarde ce tuto http://www.libellules.ch/adc.php

il faut que tu décoche la case il me semble ...

corto69 · Answer

en faite je pense mais quand je vais dans gérer un autre compte j'ai moi administrateur et en dessous j'ai ASP.NET Machine Account utilisateur satandard protéger par mot de passe.. j'y comprend rien ..lol Masi je t'ai dit tout à l'heure que quand je voulais enlever le contrôle de compte elle est déjà décocher mais pourtant à chaque fois que j'ouvre un truc sa me met le contrôle de compte je comprend pas.. et je peux même pas cocher décocher le contrôle sa revient toujours au même quand je rerentre dedans.. peut etre qui faut que je me déconnecte??

corto69 · Answer

i faut peut etre sinon que j'enlève toute les protection parfeu... pour pouvoir la desactiver (même si elle est déjà)..je comprend pas.

jorginho67 · Answer

on essaye un autre fix  

(1) Désactive le contrôle des comptes utilisateurs
   tu le réactiveras après ta désinfection:

 Va dans démarrer puis panneau de configuration
 Double Clique sur l'icône "Comptes d'utilisateurs"
 Clique ensuite sur désactiver et valide.
 
(2) Télécharge maintenant Navilog1 depuis-ce lien :

   http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

*  Enregistrer la cible (du lien) sous... et
 enregistre-le sur ton bureau.
 Ensuite double clique sur navilog1.exe pour lancer l'installation.
 Une fois l'installation terminée,
 Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis
"Exécuter en tant qu'administrateur".

(3) Au menu principal, Fais le choix 1 

NE FAIT PAS LE CHOIX 2,3,4 SANS NOTRE ACCORD 
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé à la racine du disque (fixnavi.txt) 


to be continued.......

corto69 · Answer

je suis en train de faire navilog.. juste pour te redire que j'ai bien désactivé le contrôle mais sa marche pas...

jorginho67 · Answer

BIZARRE.......................
je me renseigne, comme je te l'avais dit, Vista.....................................  :o((

corto69 · Answer

au faite j'ai un programme que windows a bloqué "SmpSys.exe" je sait pas si i faut que je l'instal.. mais pour le contrôle je sais que je l'avait déjà fait avant le virus et sa marchais se que tu disais alor je sai pas la ...

jorginho67 · Answer

SmpSys.exe est un processus de Packard Bell

http://www.castlecops.com/s15409-SmpSys_exe.html

corto69 · Answer

voilà le rapport mais j'ai l'impression que sa a pas marcher :

Search Navipromo version 3.4.0 commencé le 18/01/2008 à 16:41:46,84

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16575 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans C:\Users\Axel\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***


*** Recherche dossiers dans C:\Users\Axel\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\Axel\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Windows\System32\wintems.exe



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\Axel\AppData\Local\Microsoft *

* Recherche dans C:\Users\Axel\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\Axel\AppData\Local *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\Axel\AppData\Local\Microsoft :


* Dans C:\Users\Axel\AppData\Local\virtualstore\windows\system32 :


* Dans C:\Users\Axel\AppData\Local :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 18/01/2008 à 16:48:49,93 ***

jorginho67 · Answer

C:\Windows\System32\wintems.exe   Si si, ça a marché, il en reste un !

http://www.castlecops.com/s12631-wintems_exe.html
----------------------------------------------------------------------------------------
Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valides.

Le fix va t'informer qu'il va alors redémarrer ton PC
Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuies sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Postes le rapport içi.

Ferme internet explorer puis Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Tu les supprimes.

corto69 · Answer

Clean Navipromo version 3.4.0 commencé le 18/01/2008 à 17:09:42,60

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16575
Système de fichiers : NTFS

Mode suppression automatique 


*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\Windows\System32\wintems.exe réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

C:\Windows\System32\wintems.exe !!ERREUR SUPPRESSION!! 
 
** 2ème passage avec résultats Catchme ** 

* Dans C:\Windows\system32 *


wintems.exe trouvé ! 
Copie wintems.exe réalisée avec succès !
wintems.exe !!ERREUR SUPPRESSION!!

* Dans C:\Users\Axel\AppData\Local\Microsoft *


* Dans C:\Users\Axel\AppData\Local\virtualstore\windows\system32 *


* Dans C:\Users\Axel\AppData\Local *


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\Windows\System32 *


* Suppression dans C:\Users\Axel\AppData\Local\Microsoft *


* Suppression dans C:\Users\Axel\AppData\Local\virtualstore\windows\system32 *


* Suppression dans C:\Users\Axel\AppData\Local *



*** Suppression dossiers dans C:\Windows ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\ProgramData ***


*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Suppression dossiers dans C:\Users\Axel\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***


*** Suppression dossiers dans C:\Users\Axel\AppData\Local\virtualstore\Program Files ***


*** Suppression dossiers dans C:\Users\Axel\AppData\Roaming ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Axel\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\Windows\system32 *


* Dans C:\Users\Axel\AppData\Local\Microsoft *


* Dans C:\Users\Axel\AppData\Local\virtualstore\windows\system32 *


* Dans C:\Users\Axel\AppData\Local *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

*** Nettoyage terminé le 18/01/2008 à 17:15:03,65 ***

corto69 · Answer

Par contre j'ai rien trouvé de ce que tu m'a dit dans certificats... et j'ai à chaque fois que mon pc démarre elibagla qui se met en route.. et j'ai une erreur sur windows defender..

Faut que je fasse coi maintenant..

corto69 · Answer

Cétai quoi se que tu m'a marquer et i faut que je clic sur le lien??

C:\Windows\System32\wintems.exe Si si, ça a marché, il en reste un ! 

http://www.castlecops.com/s12631-wintems_exe.html

corto69 · Answer

J'ai un problème aussi mon pc redémarre souvent à cause d'une erreur aparrament:

Signature du problème :
  Nom d’événement de problème:	BlueScreen
  Version du système:	6.0.6000.2.0.0.768.3
  Identificateur de paramètres régionaux:	1036

Informations supplémentaires sur le problème :
  BCCode:	f4
  BCP1:	00000003
  BCP2:	890FDD00
  BCP3:	890FDE4C
  BCP4:	81EAA570
  OS Version:	6_0_6000
  Service Pack:	0_0
  Product:	768_1

Fichiers aidant à décrire le problème :
  C:\Windows\Minidump\Mini011808-03.dmp
  C:\Windows\Temp\WER-34445-0.sysdata.xml
  C:\Windows\Temp\WER951D.tmp.version.txt

Lire notre déclaration de confidentialité :
  https://privacy.microsoft.com/fr-fr/microsoft-error-reporting-privacy-statement

corto69 · Answer

merde  sa va etre chaud alors pour y supprimer?? sa me fait peur

jorginho67 · Answer

non, on va l'avoir, t'inquietes ...

refais passer eliblaga 
http://www.commentcamarche.net/forum/affich 4679988 virus win32 beagle yn wrm#2

corto69 · Answer

Thu Jan 17 02:32:48 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 02:41:04 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\158777.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\46441.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4673977.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4734708.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\53133.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\67922.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\84848.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\96205.EXE --> Eliminado Bagle

Nº Total de Directorios:   12056
Nº Total de Ficheros:      80660
Nº de Ficheros Analizados: 12380
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados:  8

	  Thu Jan 17 02:45:10 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   12056
Nº Total de Ficheros:      80607
Nº de Ficheros Analizados: 12371
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 02:59:55 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 03:00:04 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:00:09 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:00:16 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:00:28 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:01:04 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 03:01:22 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   12040
Nº Total de Ficheros:      80447
Nº de Ficheros Analizados: 12368
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 03:02:51 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   0
Nº Total de Ficheros:      0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 07:53:28 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 07:55:46 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 18:16:13 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 18:18:46 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 18:20:44 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 18:24:09 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 18:26:26 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 18:36:46 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11859
Nº Total de Ficheros:      77284
Nº de Ficheros Analizados: 12173
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Thu Jan 17 21:20:22 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Jan 17 21:20:26 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   129
Nº Total de Ficheros:      1264
Nº de Ficheros Analizados: 174
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Fri Jan 18 13:01:07 2008
EliBagle v10.87  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Fri Jan 18 15:59:57 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:01:10 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:05:07 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:13:57 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:24:52 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:34:27 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:44:28 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:58:55 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 17:59:04 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Packard Bell\SetUpMyPC\SMPSYS.EXE --> Eliminado Bagle.dldr
C:\Windows\System32\drivers\down\104411.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\75988.EXE --> Eliminado Bagle

Nº Total de Directorios:   11885
Nº Total de Ficheros:      78542
Nº de Ficheros Analizados: 12176
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados:  3

	  Fri Jan 18 18:02:50 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 20:29:36 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Fri Jan 18 20:29:39 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11887
Nº Total de Ficheros:      78732
Nº de Ficheros Analizados: 12173
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

jorginho67 · Answer

OK !
j'ai pigé...
voici les fichiers infectés :

C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

Veilles à ce que l'UAC soit désactivée  !!!
regarde sur ce tutoriel.
https://bibou0007.forumpro.fr/t132-tutorial-desactiver-l-uac-sur-vista

Télécharge ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

*Redémarre en mode sans échec
* Double clique  combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

to be contined......

Jo.

corto69 · Answer

Désolé je reviens que dimanche tard le soir et lundi je serais présent matin et aprem et soir... J'espère que tu seras là..

Merci encore bon week end

corto69 · Answer

coucou je suis de retour et je suis là demain toute la journé..

voilà se que sa ma mi (mais j'ai l'impression que sa na pas marcher car c tout petit le text:

ComboFix 08-01-20.1 - SYSTEM 2008-01-21  0:17:35.1 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.2713 [GMT 1:00]
Running from: C:\Windows\system32\config\systemprofile\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

	Incapable d'obtenir les privilèges Système


J'arrive toujours pas à enlever le controle de compte sa veut pas marcher c'est peut être pour sa ?

Si t'es là se soir on peut continuer sinon à demain salut j'attend 20 min pour savoir si t'es là..

Merci!

jorginho67 · Answer

Salut !
je suis encore là mais je ne vais pas tarder........ dodo
pour l'UAC, est ce que après avoir décoché la case  Utiliser le Contrôle des comptes d’utilisateurs pour vous aider à protéger votre ordinateur  tu redémarres le pc ? 
Théoriquement, l'UAC devrait etre désactivé .
bon, à demain.

corto69 · Answer

ba en faite la case est toujours décocher c'est ce que je te disai l'autre jour je comprend pas et quand je la coche i me demande meme plus de le redémarrer et en faite au point ou j'en suis l'uac fonctionne comme si elle était active je comprend pas franchement..

Don c le test n'a pa marcher?? mince!snif

jorginho67 · Answer

il faut que la case soit décochée..........

refais tourner combofix et poste le rapport , je verrais demain !

@ + bonne soirée  ;o)

corto69 · Answer

oui je te dit elle est decocher j'y comprend rien... aller bonne nuit on voit sa demain tu peu me dire à quel heure?? je suis là toute la journée

Merci

jorginho67 · Answer

je ne pense pas etre là avant 12h (peut etre en coup de vent) sinon après 16 h
est ce que tu est en tant qu'administrateur de l'ordi ? sinon, c'est sur ça ne marche pas.
il faut etre l'admnin' pour effectuer les changements systeme.
@+ là, j'y vais, on se voit demain.

corto69 · Answer

Je comprend pas franchement je suis administarteur et pourtant mon UAC bug car il est pourtant désactiver mais sa fait comme si il était... et quand je coche ou je décoche sa me met pas redémarer?? avant sa le fesait mais plus maintenant depuis que j'ai le virus en faite...

corto69 · Answer

J'ai pu réinstaller avast j'ai fait un scan mais il à rien trouver.. j'espere quand redémarrant je pourrais encore l'utiliser..

jorginho67 · Answer

les joies de Vista !!!
essaye de  refaire tourner combofix et poste le rapport !

corto69 · Answer

je le fait tourner en mode sans echec ou pas?? au faite je comprend pas je fait tourner avast et bit defender et y trouve rien ces soit disant antivirus..

jorginho67 · Answer

*Redémarre en mode sans échec
* Double clique combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp !

je dois m'absenter, je reviens pour 17 h

corto69 · Answer

Sa ma remis pareil en text je pense.. sa marche pas à cause de cette UAC qui marche plus!!! Je crois pas qu'on va y arriver surtout que avast et bitdefender ne le trouve pas non plus... Si je le reformatte y va y etre encore le virus?? le problème c'est que je n'ai pa fait le cd de restauration vista... si je le prend à une autre personne tu pense que sa marchera?

ComboFix 08-01-20.1 - SYSTEM 2008-01-21 16:19:56.1 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.2712 [GMT 1:00]
Running from: C:\Windows\system32\config\systemprofile\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

	Incapable d'obtenir les privilèges Système

jorginho67 · Answer

j'ai bien trouvé la manip' http://www.forum-vista.net/forum/topic110.html  pour RECOVERY CONSOLE  mais il faut le cd.
avec celui d'un autre, je ne sais pas si ça marche.
essaye éventuellement, je me renseigne de mon coté avec un spécialiste vista.
tiens moi au courant.

corto69 · Answer

Mais si je formate sa enlevera le virus ou pas?? et quand je formatte je voudrais partager mon disque dure en 2 parti je doi faire comment?? De toute facon je pourrais pa le faire avant un petit moment car pour le cd de vista je dois voir un pote et je le voi petetre la semaine prochaine ou dans 2 semaine ... Je suis dégouter sa me soul trop!!

Merci

eTa!Zor · Answer

bonjour, si vous tombez sur ce poste et que ca vous parait un peu rebarbatif pour enlever ce virus bien enervant ... une alternative simple et facile .
Lancer un live cd linux (ubuntu) et effacer tous les fichiers cites sur les premiers posts a savoir hldrr.exe et srosa.sys dans system32/drivers/ et wintems.exe dans /system32/ pour ma part la copie du virus etait dans /votrecompte/local setting/m/fl***.exe ou m est une repertoire cache.
Voila j ai plus qu a faire le menage dans la base de registre.
Merci au participants du forum.

eTa!Zor · Answer

Rectification :  apres la manip sur le live cd j ai pu relancer l antivirus et il trouve beagle dans system32/drivers/downld/6*****.exe donc n oublier de l effacer avant si vous le localisez.

Virus win32:beagle-yn[wrm] - Page 4

Discussions similaires

Newsletters