Le SIDA Des PC

infecté -  
 Utilisateur anonyme -
Bonjour,
alors voila mon problème :
j'étais tranquillement en train de travailler sur mon pc quand celui ci m'affiche un ecran bleu me demandant de redémarrer
quand je redémarre kaspersky ne se lance pas.Je le lancer manuellement et là j'ai message "ce n'est pas un application win32 valide".
mon pare feu m'indique que le propgramme hldrrr.exe essai de se conecter à internet.
je fais une petite recherche et télécharger plsusieurs kits pour l'enelever (ELiBaglA FxBagle et autres) et ça donne rien.

au bout de quelques redémarrage mon pare aussi ne se lance plus (erreur dans le registre pas veuiller réinstaller...)
j'ai essayé hijackthis même erreur que pour kasperksy(application win 32 non valide).
donc voila mon PC est sans protection
pour l'instant l'unique solution ---> formater et réinstaller windows???
Configuration: Windows XP SP2
Firefox 2.0.0.11
Kaspersky 6
Jetico (pare feu)

12 réponses

  1. Utilisateur anonyme
     
    Lut'

    On reprend , je veux voir par moi même si Elibagla ne trouve rien.

    Va sur ce site :

    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe

    Vérifie que la case "eliminar ficheros automaticamente" est cochée

    Clique sur"explorar" puis laisse-le travailler.

    Puis poste moi le rapport situé dans C:\infosat.txt

    A+
    0
  2. infecté
     
    merci pour vos réponses.. j'ai télécharger elibaglA et là je suis en train de scanner..quand j'ai le rapport je le post ici..
    0
  3. infecté
     
    Voila le rapport que j'ai avec EliBaglA

    Sat Jan 26 18:21:42 2008
    EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Por favor, envienos una muestra del fichero
    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
    a "virus@satinfo.es". Gracias.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

    Sat Jan 26 18:21:47 2008
    EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 12347
    Nº Total de Ficheros: 116236
    Nº de Ficheros Analizados: 15246
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Sat Jan 26 18:27:11 2008
    EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad D:\

    Nº Total de Directorios: 7398
    Nº Total de Ficheros: 120746
    Nº de Ficheros Analizados: 3028
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Sat Jan 26 18:31:21 2008
    EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad F:\

    Nº Total de Directorios: 5570
    Nº Total de Ficheros: 28850
    Nº de Ficheros Analizados: 5763
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  4. Utilisateur anonyme
     
    Re

    Le bagle résiste ...

    Fait ceci :

    C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92 <-- envoi ce fichier a "virus@satinfo.es"

    ***********

    Télécharge HJT

    Lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport.

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. infecté
     
    ben comme je l'ai dit j'ai le même problème avec hijackthis (application win32 non valide)
    impossible de l'exécuter (l'installation se passe bien.Mais le programme ne se lance pas)
    0
  7. infecté
     
    voila le log de hijackthis...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:53:52, on 26/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
    O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32\topdesk.exe
    O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\Run: [JeticoPFStartup] "D:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
    O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrateur\Bureau\EliBaglA.exe
    O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
    O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
    O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User '?')
    O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User '?')
    O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User '?')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
    O4 - HKUS\S-1-5-21-1993962763-823518204-839522115-500\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
    O4 - S-1-5-21-1993962763-823518204-839522115-500 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User '?')
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
    O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O15 - Trusted Zone: https://www.wildnoodle.com/
    O15 - Trusted Zone: http://*.wildnoodle.com
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BEF3EBE7-B721-46AA-A728-EA4CAE7D0461}: NameServer = 208.67.222.222 193.55.10.102
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: wampapache - Apache Software Foundation - D:\wamp\apache2\bin\httpd.exe
    O23 - Service: wampmysqld - Unknown owner - D:\wamp\mysql\bin\mysqld-nt.exe
    0
  8. infecté
     
    quelqu'un pour me dire ce qui cloche dans ce log??
    j'ai essayer http://www.hijackthis.de/fr
    j'ai quelques entrées signalées comme dangeureuses..à supprimer grâce à hijackthis?
    0
  9. Utilisateur anonyme
     
    Re

    Fixe ces lignes ( coche la case à leurs gauches > ' fixchecked ' )

    O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
    O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe

    ******************

    Hum y a du Bagle encore ... le soucis c'est que celui la est hard...

    Fait un scan en ligne avec

    Kaspersky

    # Clique sur ' online scanner '
    # Clique maintenant sur J'accepte.
    # Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    # Patiente pendant l'installation des Mises à jour.
    # Choisis par la suite l'analyse du Poste de travail
    # Sauvegarde puis colle le rapport généré en fin d'analyse

    /!\ Internet Explorer obligatoire /!\
    Puis poste moi le rapport

    A+
    0
  10. infecté
     
    je vais essayer mais le scan en ligne prend un temps fou...dès que j'ai le rapport je le poste ici..
    0
  11. infecté
     
    le virus a gagné....
    j'ai formaté mon PC merci pour tout
    0
  12. Utilisateur anonyme
     
    ... C'était pas la peine :/

    Mais bon ...
    0