[infecté] Rapport

Question

Bonjour, Voila je fait un rapport de avast qui m'a detecté tout ces virus et trojan :
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.02
Win32:Beagle-YN [Wrm]
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\2844421.exe.vir
Win32:Agent-SDO [Trj]
(sans faire expres j'ai supprimer :x )
Win32:Beagle-YN [Wrm]
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\41125.exe.vir
Win32:Agent-SDO [Trj]
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\48609.exe.vir
Win32:Agent-SDO [Trj]
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\49109.exe.vir
Win32:Beagle-AAJ [Trj]
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\hldrrr.exe.vir
Win32:Beagle-YN [Wrm]
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143905.exe
Win32:Agent-SDO [Trj]
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143906.exe
Win32:Beagle-YN [Wrm]
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143945.exe
Win32:Agent-SDO [Trj]
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143946.exe
Win32:Agent-SDO [Trj]
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143947.exe
Win32:Beagle-AAJ [Trj]
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143986.exe
Win32:Trojan-gen {Other}
C:\WINDOWS\system\smbss.exe

Voila j'aimerai que quelqun m'aide à éradiquer tout sa :þ

g!rly · Answer

Bonjour, 

Tu as été infecté par le virus bagle ressament, qui t´as aidé pour t´en debarassé?

Tu surf avec internet explorer 6.0 = failles de securitées importantes

Alors fais les mises a jour windows : tu veux la version 7.0 

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70 

Et pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.firefox.fr/ 

Pour voir

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

@+

LePayreNoel · Answer

Merci pour cet reponse rapide :)
Je ne me rappel plus de la personne qui m'a aider à éradiquer ce virus (à moin que ce n'etait pas moi surement quelqun d'autre de ma famille).

Rapport de HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03, on 2008-02-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\osd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Windows\System32\VisualTaskTips.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [OSD] C:\WINDOWS\osd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted IP range: http://193.252.55.207
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.family.my/c/online-e-games
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/NewUploader/ImageUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8F6332D-D2A0-4FF7-9A68-08563314E475}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

g!rly · Answer

Re,

Ok le virus bagle a ete supprimé de ta machine....

Ce que tu voie dans le rapport que tu as fourni dans ton premier post montre juste les fichiers infectés soit dans la quarantaine des outils soit dans ta restauration system...

Pour le moment fais ceci :

Tu surf avec internet explorer 6.0 = failles de securitées importantes

Alors fais les mises a jour windows : tu veux la version 7.0

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

Et pourquoi ne pas surfer avec firefox? = plus sur, tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.firefox.fr/

installes un par feu :

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

Comodo 3 pro :

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

puis

A propos de Boonty games

Utilises tu des jeux de boonty games depuis longtemps ?

Voici une petite information sur Boonty games

Leur politique :

"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent des services payants et partage des données regroupées montrant le type
et le nombre de jeux vidéos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux vidéos, activités et entraînement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

Si tu es d'accord avec eux, pas de problèmes sinon, on le supprimera

dis moi quoi pour boonty

@+

LePayreNoel · Answer

Ok, j'ai installer Internet Explorer 7.0. J'ai déjà Firefox mais certain site sur lesquels je vais ne sont pas compatible avec Firefox. Je n'utilise pas boonty games je ne savais meme pas qu'il y avait ça sur mon PC. J'installe un Firewall ok.
Il y a un rundll32.exe qui s'ouvre et qui se ferme en permanance mon UC passe de 8% a 15% de temps en temps plus. Quand je vais dans "Tout les programmes" et ben Explorer se bloque et le processus de explorer.exe monte dans les 50. Et le sablier a coter de la souris apparait regulierement a cause de sa. Ce problème est apparut ce matin.

g!rly · Answer

Re,

ok installes un par feu 

puis 

a l´aide de hijack this coche et fix ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')

puis

as tu encore combofix?

sinon reprends le ici :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+

LePayreNoel · Answer

Voili Voulou le rapport :

ComboFix 08-02-25.3 - Admin 2008-02-26 13:43:25.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.618 [GMT 1:00]
Endroit: C:\Documents and Settings\Admin\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\102328.exe
C:\WINDOWS\system32\drivers\down\104156.exe
C:\WINDOWS\system32\drivers\down\117578.exe
C:\WINDOWS\system32\drivers\down\118796.exe
C:\WINDOWS\system32\drivers\down\121171.exe
C:\WINDOWS\system32\drivers\down\134890.exe
C:\WINDOWS\system32\drivers\down\164562.exe
C:\WINDOWS\system32\drivers\down\2844421.exe
C:\WINDOWS\system32\drivers\down\2849562.exe
C:\WINDOWS\system32\drivers\down\2857187.exe
C:\WINDOWS\system32\drivers\down\2858328.exe
C:\WINDOWS\system32\drivers\down\2859734.exe
C:\WINDOWS\system32\drivers\down\2861703.exe
C:\WINDOWS\system32\drivers\down\2879484.exe
C:\WINDOWS\system32\drivers\down\2879953.exe
C:\WINDOWS\system32\drivers\down\2884109.exe
C:\WINDOWS\system32\drivers\down\2885671.exe
C:\WINDOWS\system32\drivers\down\2887000.exe
C:\WINDOWS\system32\drivers\down\2889468.exe
C:\WINDOWS\system32\drivers\down\2893625.exe
C:\WINDOWS\system32\drivers\down\2896406.exe
C:\WINDOWS\system32\drivers\down\2896687.exe
C:\WINDOWS\system32\drivers\down\2897250.exe
C:\WINDOWS\system32\drivers\down\2897625.exe
C:\WINDOWS\system32\drivers\down\2900062.exe
C:\WINDOWS\system32\drivers\down\2901890.exe
C:\WINDOWS\system32\drivers\down\2929703.exe
C:\WINDOWS\system32\drivers\down\2931390.exe
C:\WINDOWS\system32\drivers\down\305406.exe
C:\WINDOWS\system32\drivers\down\306640.exe
C:\WINDOWS\system32\drivers\down\308218.exe
C:\WINDOWS\system32\drivers\down\310359.exe
C:\WINDOWS\system32\drivers\down\326031.exe
C:\WINDOWS\system32\drivers\down\326703.exe
C:\WINDOWS\system32\drivers\down\331703.exe
C:\WINDOWS\system32\drivers\down\332953.exe
C:\WINDOWS\system32\drivers\down\335781.exe
C:\WINDOWS\system32\drivers\down\338203.exe
C:\WINDOWS\system32\drivers\down\354890.exe
C:\WINDOWS\system32\drivers\down\357984.exe
C:\WINDOWS\system32\drivers\down\358312.exe
C:\WINDOWS\system32\drivers\down\359468.exe
C:\WINDOWS\system32\drivers\down\360078.exe
C:\WINDOWS\system32\drivers\down\362843.exe
C:\WINDOWS\system32\drivers\down\364937.exe
C:\WINDOWS\system32\drivers\down\391531.exe
C:\WINDOWS\system32\drivers\down\397953.exe
C:\WINDOWS\system32\drivers\down\41125.exe
C:\WINDOWS\system32\drivers\down\48609.exe
C:\WINDOWS\system32\drivers\down\49109.exe
C:\WINDOWS\system32\drivers\down\51953.exe
C:\WINDOWS\system32\drivers\down\52546.exe
C:\WINDOWS\system32\drivers\down\53796.exe
C:\WINDOWS\system32\drivers\down\54093.exe
C:\WINDOWS\system32\drivers\down\55453.exe
C:\WINDOWS\system32\drivers\down\56171.exe
C:\WINDOWS\system32\drivers\down\57578.exe
C:\WINDOWS\system32\drivers\down\69359.exe
C:\WINDOWS\system32\drivers\down\69828.exe
C:\WINDOWS\system32\drivers\down\72859.exe
C:\WINDOWS\system32\drivers\down\74203.exe
C:\WINDOWS\system32\drivers\down\74343.exe
C:\WINDOWS\system32\drivers\down\74671.exe
C:\WINDOWS\system32\drivers\down\75984.exe
C:\WINDOWS\system32\drivers\down\78812.exe
C:\WINDOWS\system32\drivers\down\81734.exe
C:\WINDOWS\system32\drivers\down\82609.exe
C:\WINDOWS\system32\drivers\down\83671.exe
C:\WINDOWS\system32\drivers\down\84968.exe
C:\WINDOWS\system32\drivers\down\86078.exe
C:\WINDOWS\system32\drivers\down\88406.exe
C:\WINDOWS\system32\drivers\down\94406.exe
C:\WINDOWS\system32\drivers\down\97234.exe
C:\WINDOWS\system32\drivers\down\97703.exe
C:\WINDOWS\system32\drivers\down\98015.exe
C:\WINDOWS\system32\drivers\down\98359.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa

((((((((((((((((((((((((((((( Fichiers créés 2008-01-26 to 2008-02-26 ))))))))))))))))))))))))))))))))))))
.

2008-02-26 13:35 . 2008-02-26 13:35 <REP> d-------- C:\Program Files\Kerio
2008-02-26 13:12 . 2008-02-26 13:12 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-02-26 13:06 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-26 13:06 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-26 13:06 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-26 13:06 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-26 13:06 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-26 13:06 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-26 13:06 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-26 13:06 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-26 13:06 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-02-26 13:06 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 14:47 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-20 14:47 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-20 14:47 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-20 14:47 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-20 14:47 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-20 14:47 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-20 14:46 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-20 14:46 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-20 13:04 . 2008-02-26 11:44 <REP> d-------- C:\Muestras
2008-02-20 12:46 . 2008-02-20 12:46 <REP> d-------- C:\Program Files\Trend Micro
2008-02-18 09:28 . 2008-02-18 09:28 <REP> d-------- C:\Program Files\ALCATech
2008-02-13 12:38 . 2008-02-13 12:38 <REP> d-------- C:\Program Files\YouTUBE (TM) movie downloader
2008-02-05 16:33 . 2008-02-05 16:33 <REP> d-------- C:\Program Files\Lavasoft
2008-02-05 16:33 . 2008-02-05 16:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-01 22:05 . 2008-02-01 22:05 <REP> d-------- C:\Program Files\Common Files
2008-02-01 22:00 . 2008-02-01 22:00 <REP> d-------- C:\ijji

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-20 20:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-20 20:07 --------- d-----w C:\Program Files\Windows Live
2008-02-20 18:39 --------- d-----w C:\Documents and Settings\Admin\Application Data\uTorrent
2008-02-20 13:46 --------- d-----w C:\Program Files\Alwil Software
2008-02-20 11:32 --------- d-----w C:\Documents and Settings\Admin\Application Data\Lavasoft
2008-02-20 07:22 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-20 07:22 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-17 18:08 --------- d-----w C:\Documents and Settings\Admin\Application Data\U3
2008-02-16 20:44 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-10 10:19 --------- d-----w C:\Program Files\Nod32
2008-02-05 15:33 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-03 18:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-01 16:48 --------- d-----w C:\Program Files\Yahoo!
2008-01-20 16:56 --------- d-----w C:\Documents and Settings\Admin\Application Data\ma-config.com
2008-01-17 17:14 --------- d-----w C:\Program Files\ma-config.com
2008-01-15 19:17 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-01-15 19:09 22,328 ----a-w C:\Documents and Settings\Admin\Application Data\PnkBstrK.sys
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-06 18:31 46,592 ----a-w C:\WINDOWS\system32\mscfg.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-09-06 19:07 357 -c--a-w C:\Documents and Settings\Admin\.cb_layout.bin
2006-10-08 23:18 145,920 -c--a-w C:\WINDOWS\inf\hdaudio.sys
.

------- Sigcheck -------

fb66744d525ea5df9a719f1db9b2dff4 C:\WINDOWS\system32\winlogon.exe
----a-w 507,904 2006-10-24 06:06:43 C:\WINDOWS\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 03:23 36864]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-02 21:33 7700480]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-11-02 21:33 86016]
"Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 03:37 121089]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32 221184]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 15:24 196608]
"OSD"="C:\WINDOWS\osd.exe" [2007-01-21 20:50 86016]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 14:12 678912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 20:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 03:23 36864]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 20:27 65536]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HPAiODevice(hp psc 900 series) - 1.lnk - C:\Program Files\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe [2002-09-26 13:40:00 487484]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a--c--- 2005-06-23 19:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LabtecKB]
C:\Program Files\Labtec\Labtec Keyboard-Desktop Software\DsiMmKbd.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LClock]
--a------ 2004-09-19 20:27 65536 C:\Program Files\LClock\lclock.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a--c--- 2005-06-08 14:24 458752 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OFFICEKB]
--a--c--- 2007-03-17 20:22 387584 C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2006-10-09 00:34 16050176 C:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2006-10-09 00:30]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-09 00:30]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-10-09 00:30]
R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2007-03-17 17:48]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 01:58]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-05-09 20:09]
S3 Revolution1;Revolution1;C:\Documents and Settings\Englais\Mes documents\Rev UCE\SHAK3.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
S3 XDva028;XDva028;C:\WINDOWS\system32\XDva028.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7487d06c-6475-11dc-9c30-000a3a75cb75}]
\Shell\AutoRun\command - I:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-26 13:45:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-26 13:45:53
ComboFix-quarantined-files.txt 2008-02-26 12:45:44
.
2008-02-21 19:45:47 --- E O F ---

g!rly · Answer

Ok

Supprime ceci :

C:\Muestras < fichier

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

@+

LePayreNoel · Answer

OK je fait ça, sa vas prendre un petit peu de temps je pense ^^. Encore merci pour la rapidité =þ

LePayreNoel · Answer

Wow, j'ai eu un peu de mal a bien configurer mais c'est bon ^^. Je vient de lancer le scan ;)

g!rly · Answer

Ok cool ;-)

@+

LePayreNoel · Answer

C'est très long même xd.

LePayreNoel · Answer

A chaque fois que lantivirus trouve quelque chose j'ai fait ce quil me conseillait, C'est bon?

LePayreNoel · Answer

Enfin !!!
Le rapport :



AntiVir PersonalEdition Classic
Report file date: 2008-02-26  14:21

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    549BAB8D84C2406

Version information:
BUILD.DAT    : 270           15603 Bytes  2007-09-19 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  2007-08-23 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  2007-08-16 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  2007-08-14 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  2007-09-13 14:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  2007-09-13 14:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  2007-09-13 14:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  2007-09-17 17:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  2007-07-18 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 13:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  2007-08-03 08:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  2007-07-18 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  2007-07-18 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  2007-08-07 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  2007-08-21 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: F:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: 2008-02-26  14:21

Starting search for hidden objects.
'43478' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'hpoevm07.exe' - '1' Module(s) have been scanned
Scan process 'hpobrt07.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'VisualTaskTips.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'osd.exe' - '1' Module(s) have been scanned
Scan process 'LVCOMSX.EXE' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'btwdins.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ashServ.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!
Master boot sector HD1
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'F:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '29' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.02
      [DETECTION] Is the Trojan horse TR/Rootkit.Gen
      [INFO]      The file was moved to '481315c6.qua'!
C:\Program Files\Deneba\Canvas 7\Outils Canvas\aupdate.CVT
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '48341703.qua'!
C:\Program Files\LegacyGamers\LegacyGamers GunZ Online\gui.dll
      [DETECTION] Contains suspicious code HEUR/Crypted
      [INFO]      The file was moved to '482d18e0.qua'!
C:\QooBox\Quarantine\catchme2008-02-20_133916.04.zip
  [0] Archive type: ZIP
  --> srosa.sys
      [DETECTION] Is the Trojan horse TR/Rootkit.Gen
  --> wintems.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
  --> mdelk.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '48381a87.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system\smss.exe.vir
      [DETECTION] Is the Trojan horse TR/Proxy.Horst.Gen
      [INFO]      The file was moved to '48371a95.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\mdelk.exe.vir
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '48291a8d.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '48321a94.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\2857187.exe.vir
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f91a66.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\305406.exe.vir
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f91a60.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\51953.exe.vir
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47fd1a64.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP330\A0141837.sys
      [DETECTION] Is the Trojan horse TR/Rootkit.Gen
      [INFO]      The file was moved to '47f51b05.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP330\A0142836.sys
      [DETECTION] Is the Trojan horse TR/Rootkit.Gen
      [INFO]      The file was moved to '47f51b08.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP330\A0142837.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f51b09.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP330\A0143856.sys
      [DETECTION] Is the Trojan horse TR/Rootkit.Gen
      [INFO]      The file was moved to '47f51b0c.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP330\A0143857.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f51b0e.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP330\A0143858.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f51b0f.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143907.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f51b14.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143926.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f51b16.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143948.exe
      [DETECTION] Is the Trojan horse TR/Bagle.Gen.B
      [INFO]      The file was moved to '47f51b18.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143975.exe
      [DETECTION] Is the Trojan horse TR/Proxy.Horst.Gen
      [INFO]      The file was moved to '47f51b1a.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143984.exe
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '47f51b1c.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP331\A0143985.exe
      [DETECTION] Is the Trojan horse TR/Trash.Gen
      [INFO]      The file was moved to '47f51b1d.qua'!
C:\System Volume Information\_restore{D31E7192-F03F-4069-BDEE-994BA2E2D533}\RP343\A0149816.dll
      [DETECTION] Contains suspicious code HEUR/Crypted
      [INFO]      The file was moved to '47f51b51.qua'!
C:\WINDOWS\system32\mscfg.dll
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was moved to '48271d74.qua'!
Begin scan in 'F:\' <Fichiers>


End of the scan: 2008-02-26  15:33
Used time:  1:12:37 min

The scan has been done completely.

   6438 Scanning directories
 225089 Files were scanned
     22 viruses and/or unwanted programs were found
      4 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
     24 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 225067 Files not concerned
   1786 Archives were scanned
      1 Warnings
      2 Notes
  43478 Objects were scanned with rootkit scan
      0 Hidden objects were found

LePayreNoel · Answer

Euh G!rly ? Tu es encore la ?

LePayreNoel · Answer

Le problème est toujours la, j'ai rundlll32.exe qui s'ouvre et qui se ferme, mon UC utilise de 40% a 90% et quand je lance "tout les programmes" et ben il bloque explorer. Je suis désesperé la...

g!rly · Answer

Re,

Fais ceci :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

 C:\WINDOWSundlll32.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

@+

LePayreNoel · Answer

Merci ^^

Voila le rapport mais je croit que sa a pas marcher :(

[Custom Input]
< C:\WINDOWS\rundlll32.exe  >
File/Folder C:\WINDOWS\rundlll32.exe not found.
 
OTMoveIt2 v1.0.20 log created on 02262008_181237

g!rly · Answer

Re,

Non ca n´a pas marché...

Tu peux verifier qu il est bien dans le dossier windows.

Sinon fait une recherche et dis moi dans quelle dossier il se trouve.

@+

LePayreNoel · Answer

il est dans C:\Windows\System32
Je fait la manip avec MoveIt sauf que je met C:\Windows\System32\rundll32.exe ? (j'attend ta reponse avant de le faire xd)

g!rly · Answer

Oui vas-y ;-)
dis moi quoi
@+

LePayreNoel · Answer

[Custom Input]
< C:\Windows\System32\rundll32.exe >
C:\Windows\System32\rundll32.exe moved successfully.
 
OTMoveIt2 v1.0.20 log created on 02262008_184935

Donc sa à reussi ^^

Mais mon PC a toujours des monters aux niveau de l'UC (de - de 10% a 50%) sans rien faire.

LePayreNoel · Answer

G!rly ? :)

g!rly · Answer

Re,

Telecharge process xp et informes moi des processus qui prennent beaucoup d´uc

https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/process-explorer.html

tutoriel :

https://forum.zebulon.fr/topic/92628-mini-tuto-process-explorer/

@+

LePayreNoel · Answer

Ok, en attendant jai remit rundll32.exe la ou il etait parce que je ne pouvait pas lancer ajout/supression des programmes ou des trucs du style. Au cas ou yaurai un probleme encore avec ce fichier, je refait la meme manip ;)
Je fait ce que tu me dit.

LePayreNoel · Answer

Bon maintenant le CPU reste stable, mais il ya un processus sans nom (processus inactif) qui prend entre 85 et 99 du CPU, c'est normal ?

g!rly · Answer

Salut, 

Tu le voie dans process explorer ?

C´est quoi son nom?

@+

LePayreNoel · Answer

Il n'a pas de nom :s

g!rly · Answer

Re,

Click droit dessus et propriete, dans la nouvelle fenetre click sur l´onglet image, la tu devrais voir le chemain du processus...

dis moi quoi

@+

LePayreNoel · Answer

Non ya pas de chemin de processus ya juste a coter de User : NT AUTHORITY\SYSTEM

g!rly · Answer

salut lepayrenoel

fais un scan a l´aide de spybot et dis moi ce qu´il trouve...

*Spybot (gratuit) :
Téléchargement :
http://www.commentcamarche.net/telecharger/telecharger 122 spybot
voir demo d utilisation (merci Balltrap)
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

@+

[infecté] Rapport

30 réponses

Votre réponse

Discussions similaires

Newsletters