wintems - demarrage sans echec impossibleRésolu/Fermé

Question

Bonjour,

Donc j'ai tout bien cherché dans le forum, et malgré toutes les réponses que j'ai pu lire et tous les logiciels que j'ai essayé, et ben j'ai pas réussi à me "séparé" de mon wintems - Win32/bagle.gen.

j'ai essayé de lancé Hijackthis (pour le rapport) mais windows me sort une application win32 non valide,
Les antivirus ne veulent pas s'installer, 
les modes sans echec ne marchent pas (écran bleu d'une micro seconde et redemarrage)
KILLBOX m'a supprimé "wintems" mais il est revenu.
j'ai Viguard qui ne se lance plus en automatique mais j'arrive encore a faire des scans pour bien voir que c'est infecté...105 detections.. et bien sûr il ne supprime pas wintems.
j'ai plus de son (à part au démarrage)
IE est super long...
le WIFI n'est plus géré par windows (mais par intelproset/wireless) et impossible de lui re-forcer la main

j'ai téléchargé elibagla... en esperant qu'il me dise quelque chose...

en bref... HEEEELP

moe · Answer

Salut bryceletarmo

Peux tu poster dans un premier temps, tout le contenu du rapport qu'à généré Elibagla, il se trouve à C:\Infosat.txt ?

@++

moe · Answer

Salut bryceletarmo

En effet Bagle semble bien incrusté :-)

Supprime le fichier C:\InfoSat.txt
Ensuite :
Télécharge sur ton bureau KB.exe ici

Sur ton bureau double clic sur KB.exe, laisse le chemin d'extraction proposé par défaut et clic sur "Installer"
Toujours sur ton bureau double clic ensuite sur le raccourci "KillB"
Au message "Voulez-vous exécuter Elibagla", tape 1 (Oui) puis valide avec la touche 'Entrée'

Juste après, l'outil Elibagla va se lancer automatiquement (cette fois il devrait pouvoir faire son boulot correctement), clic sur "ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.21
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE

Une fois fait, le menu principal d'Elibagla apparaîtra :

- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.

/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redémarre pas ton pc après l'analyse de l'outil.
/!\ Ne relance pas KillB plusieurs fois sous peine de fausser le rapport.

Le scan terminé, poste dans ta prochaine réponse le contenu du fichier C:\KB\KB.txt ainsi que C:\InfoSat.txt

Précise aussi, si l'option 'Afficher les fichiers et dossiers cachés' dans les options des dossiers est toujours présente ou si elle a disparue :

menu Démarrer > Exécuter > Tapes ou copie/colle: control folders  puis valide.
Clic sur l'onglet [Affichage] 
[Afficher les fichiers et dossiers cachés]

@+ et bon courage.

moe · Answer

Parfait, Bagle semble avoir été supprimé cette fois.

Dernière vérification avant de te faire rebooter ton pc :

Ouvre le menu démarrer et clic sur 'Exécuter' puis tape cmd et valide
Dans la fenêtre de l'invite de commande copie et colle ceci:
findstr /S /I /M /L "Themida" C:\*.exe>>C:\Startvir.txt
Une fois que la commande aura finie de s'exécuter, copie et colle sur le forum le contenu de C:\Startvir.txt. 
Le fichier peut être vide si rien n'a été détecté, auquel cas tu me le précisera dans ta prochaine réponse.

@ tout de suite !

jorginho67 · Answer

Bonjour moe ;-)

Pourrais tu m'en dire plus sur ce " kb..."

Je pense qu'il s'agit d'  une version que tu renommes et que tu met en ligne au fur et a mesure de tes besoins .

Comment procedes tu ? ( si ce n'est trop te demander ) ou sinon, j'ai un topic bagle ou j'ai demandé le renommage de eliblaga en MDELK.EXE ( ça avait marché du premier coup  il n'y a pas longtemps sur un autre cas ) mais ici, on dirait que non !

Puis je utiliser ton KB ou est il spécifique a chaque cas ? 

Merci

Cordialement 

Jo.

ps) tu devrais te logguer,  pour la fonction MP  ;-))  peut etre plus pratique pour l'echange de ce genre d'infos qui pourraient etre .... détournées...

@+

moe · Answer

Non, rien de grave.
Bagle à la particularité d'infecter un programme sain sensé s'exécuter au démarrage de windows habituellement, ceci afin de pouvoir se réexécuter sous certaines condititions et donc cette commande permet de débusquer ce programme sain infecté.
Dans ton cas il s'agit de :
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
et
C:\WINDOWS\system32\MRT.exe 

Voilà ce que tu vas faire :

Pour a connexion WiFi :
Ensuite ouvre le menu démarrer > Exécuter et tape devmgmt.msc
Le gestionnaire des périphériques va s'ouvrir, dans le menu du haut clic sur 'Affichage' puis sur 'Afficher les périphériques cachés'
Dans la liste des périphériques déploie 'Pilotes non Plugs-and-Play'
Double clic sur 'NDIS mode utilisateur E/S protocole'
Clic sur l'onglet 'Pilote"
Dans la section 'Démarrage' et à côté de 'type' règle l'option sur 'Demande'
Valide avec ok (important) et referme la fenêtre du gestionnaire de périphériques. (n'accepte pas de redémarrage du pc)

Puis supprime:
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
et
C:\WINDOWS\system32\MRT.exe

Redémarre le pc.
De retour sur ta session, réexécute une dernière fois Elibagla (pas KillB) et poste le rapport.

Puis enfin, recherche et supprime s'ils sont présents, en ayant pris soin auparavant de rendre visible les fichiers cachés :

C:\WINDOWS\system32\mdelk.exe 
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld <- dossier

Dis moi dans ta réponse si leur suppression s'est bien passé ou pas.

@++

ps:
Salut jorginho67, je ne t'oublie pas... :-)

moe · Answer

non, c'est pas bon, l'infection s'est relancé...

Avais-tu supprimé :
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
et
C:\WINDOWS\system32\MRT.exe 

Avant de redémarrer le pc ?

Donc on reprend, désolé :
Supprime C:\infosat.txt ainsi que c:\Starvir.txt

Sur ton bureau double clic ensuite sur le raccourci "KillB"
Au message "Voulez-vous exécuter Elibagla", tape 1 (Oui) puis valide avec la touche 'Entrée'

Après le scan d'élibagla, surtout tu ne redémarre pas le pc.

Ouvre le menu démarrer et clic sur 'Exécuter' puis tape cmd et valide
Dans la fenêtre de l'invite de commande copie et colle ceci:
findstr /S /I /M /L "Themida" C:\*.exe>>C:\Startvir.txt 

Poste dans ta prochaine réponse le contenu du fichier C:\KB\KB.txt ainsi que C:\InfoSat.txt et C:\Startvir.txt
Ne redémarre pas encore le pc sous peine de le réinfecter.

@++

moe · Answer

t'inquiète, quelque chose a du merder quelque part et j'essaye juste de trouver les possibles raisons en te demandant quelques précisions, ça m'aide à essayer de mieux comprendre ou et comment  :-)

Oui, si tu peux c'est mieux hors connexion.

@ toute

moe · Answer

pas grave, envois les rapports :-)

moe · Answer

Ok, c'est partis :-)

Pour a connexion WiFi :
Ensuite ouvre le menu démarrer > Exécuter et tape devmgmt.msc
Le gestionnaire des périphériques va s'ouvrir, dans le menu du haut clic sur 'Affichage' puis sur 'Afficher les périphériques cachés'
Dans la liste des périphériques déploie 'Pilotes non Plugs-and-Play'
Double clic sur 'NDIS mode utilisateur E/S protocole'
Clic sur l'onglet 'Pilote"
Dans la section 'Démarrage' et à côté de 'type' règle l'option sur 'Demande'
Valide avec ok (important) et referme la fenêtre du gestionnaire de périphériques. (n'accepte pas de redémarrage du pc)

Puis :
Renomme ou supprime C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe


Ensuite ouvre le menu démarrer > Exécuter et tape msconfig puis valide.
Dans l'onglet démarrage décoche (si présent) la case concernant le programme C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
Valide et accepte cette fois le redémarrage du pc s'il t'es proposé, sinon redémarres-le toi même.

De retour sur ta session, supprime ta version d'Elibagla et retélécharges-le ici :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Tout en bas de cette page clique sur "Descargar Elibagla"

Relance Elibagla et poste le rapport C:\infosat.txt

Puis recherche et supprime s'ils sont présents, en ayant pris soin auparavant de rendre visible les fichiers cachés et système (les deux):

Ouvre le menu Démarrer > Exécuter > Tapes ou copie/colle: control folders  puis valide.
Clic sur l'onglet [Affichage] 
Cocher la case devant [Afficher les fichiers et dossiers cachés]
Décocher la case devant [Masquer les fichiers protégés du système]
Valide.

Les fichiers et dossiers suivant :
 
C:\WINDOWS\system32\mdelk.exe 
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld <- dossier

Dis moi dans ta réponse si leur suppression s'est bien passé ou pas.

@+  !

bryceletarmo · Answer

Ok, alors donc...

Pour a connexion WiFi : c fait mais ça marche po des masses j'ai l'impression... tjs impossible de gerer le WIFI par windows mais c po grave pour l'instant.

ensuite,
j'ai renommé le fichier en ISUSPMold.exe mais y le meme avec "- startup" est ce normal??? 

j'ai redemarré après la modif MSCONFIG. au redemarrage il m'a affiché une fenetre d'info qui me dit que j'ai changé des trucs et tout.

j'ai DL la version de Elibagla en suivant ton lien
le rapport en question :

	  Sun Apr 06 17:58:30 2008
EliBagle v11.21  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sun Apr 06 17:58:34 2008
EliBagle v11.21  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2836
Nº Total de Ficheros:      29717
Nº de Ficheros Analizados: 9173
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0


Les fichiers et dossiers suivant : 

C:\WINDOWS\system32\mdelk.exe : trouvé et effacé
C:\WINDOWS\system32\drivers\mdelk.exe trouvé et effacé
C:\WINDOWS\system32\drivers\downld <- dossier : dossier trouvé et effacé

ouf... 

alors ? alors ? c bon ?

A++

encore merci de passer du temps sur mon PB

Brice

moe · Answer

Cette fois ça a l'air bon, le rapport Elibagla est nickel :-)

j'ai renommé le fichier en ISUSPMold.exe mais y le meme avec "- startup" est ce normal??? 
non, mais en fait on dirait  bagle que s'est planté en essayant d'écraser ce fichier, mais pour l'instant ne touche pas à ces deux fiichiers, un scan av en ligne de contrôle nous en apprendra plus sur lequel est réellement infecté.

Pour a connexion WiFi :
Ouvre le menu démarrer > Exécuter et tape devmgmt.msc
Le gestionnaire des périphériques va s'ouvrir, dans le menu du haut clic sur 'Affichage' puis sur 'Afficher les périphériques cachés'
Dans la liste des périphériques déploie 'Pilotes non Plugs-and-Play'
Double clic sur 'NDIS mode utilisateur E/S protocole'
Clic sur l'onglet 'Pilote"

Vérifie si la section 'Etat actuel' et bien sur démarré.
Si ce n'est pas le cas, clic sur le bouton 'Démarrer' puis valide en cliquant sur ok.

- Ensuite fais un scan AV en ligne avec Kaspersky :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Rends toi sur le site avec Internet Explorer.
En bas à droite de la page clique sur 'Démarrer online scanner'
Clique ensuite sur J'accepte.
Autorise l'installation du Contrôle ActiveX et des MAJ de la base virale.
Patiente pendant l'installation des Mises à jour.
Choisis comme cible d'analyse le Poste de travail.

Sauvegarde puis colle sur le forum, le rapport généré en fin d'analyse.

Et enfin pour terminer :
Télécharge Deckard's System Scanner de Deckard sur ton Bureau (important):
http://www.techsupportforum.com/sectools/Deckard/dss.exe

Referme les fenetres de toutes les applications en cours.

Sur ton bureau, double clic sur dss.exe.
Si le programme HijackThis n'a jamais été installé, Dss.exe va te demander la permission de le télécharger.

- Clique sur Oui pour autoriser le téléchargement.
- Clique sur OK à chaque fois que cela sera demandé.

/!\ Si le téléchargement devait échouer, clic sur "Annuler", Dss.exe émulera automatiquement un rapport Hijackthis.

L'analyse terminée, un fichier texte s'affichera. Poste son contenu dans ta réponse.
Le rapport sera rangé et sauvegardé ici : C:\Deckard\System Scanner\main.txt

Bon courage et à plus tard !.

moe · Answer

Salut Papimarcel

La manip avec le gestionnaire des périphériques passe automatiquement la valeur de la clé auquel tu fais référence de 4 à 3, tu peux faire le test chez toi si tu veux :-)
Quant à Controlset002, 003 etc, elles s'alignent et s'actualisent ensuite automatiquement sur la valeur dans CurrentControlSet
Mais bon on peut aussi passer par le registre comme tu viens de le préciser :-)


Car je dois avouer que elibagla arrive a supprimé bagle ca tient du miracle (je m'orienterai bien vers un ptit coup de combofix...)
Tout à fait d'accord sur ce point, tel quel Elibagla a de sérieux problèmes en mode normal s'il n'est pas renommé au préalable en mdelk.exe par exemple, mais perso et ça n'engage que moi, vu le rythme des évolutions de Bagle je ne fais pas plus confiance à Combo que toi à Elibagla pour détecter la totalité de l'infection au moment de l'arrivée de ces variantes.
Il ya toujours une latence avec ces outils le temps de la découverte de nouvelles variantes et ensuite le temps de la maj.
Quelque fois ça peut jouer des tours si on ne se fie qu'a l'analyse de ces outils...

Ensuite, pour ce qui est des "méthodes de désinfection", bah beaucoups se vallent en efficacité :-)

bon courage, et si tu as cracké un programme l'as tu désinstallé car des que le programme se relance ca relance l'infection. 
A ma connaissance lorsque le faux crack est exécuté aucun autre programme n'est "cracké"...
Le faux crack n'est qu'un dropper ou plutôt un  leurre qui installe Bagle et ne fait rien d'autre.
La fenêtre "select a file to crack" qui apparait lorsque le faux crack est exécuté n'est là que pour faire diversion et simuler l'echec d'une tentative de cracking.
Par contre pendant ce laps de temps le registre est lu par ce faux crack, à la recherche d'un élément se lancant automatiquement au démarrage de windows, une fois trouvé il écrase ce fichier et se copie à sa place et avec le même nom que le fichier sain d'origine pour s'assurer d'êre réexécuté au reboot.
Ensuite effectivement lorsque l'infection est en place, le processus hldrrr.exe tente de se connecter en premier à des serveurs distants et de télécharger la suite de l'infection.
Idem pour wintems.exe ensuite.
Donc après arrêt de ces processus comme ça a été le cas avec l'outil que je lui ait fait employer, la connexion à des serveurs distant n'est plus possible, puisque ces processus ont été rendus inactifs et donc la connexion à des serveurs distant ne se fait pas via l'opération du saint esprit même si l'utilisateur est encore connecté au net.


bryceletarmo,

question subsidiaire : l'utilitaire de configuration, dans l'onglet général y me dit que je suis en démarrage selectif. c'est normal? 

Oui, c'est du au fait d'avoir utilisé msconfig pour empécher l'exécution au démarrage du fichier sain écrasé par bagle, ce qui aurais provoqué une réinfection, mais t'inquiète on s'occupera de ce message plus tard, pour l'instant ne t'en soucie pas.

bryceletarmo · Answer

y a eu un bug... voila le main de DSS :

sorry

Deckard's System Scanner v20071014.68
Run by LAURENTB on 2008-04-06 19:28:03
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
26: 2008-04-06 17:28:10 UTC - RP28 - Deckard's System Scanner Restore Point
25: 2008-04-06 09:19:38 UTC - RP27 - Installed Dell(TM) Client Configuration Utility
24: 2008-04-06 09:15:28 UTC - RP26 - Configuré SigmaTel Audio
23: 2008-04-04 08:07:49 UTC - RP25 - Point de vérification système
22: 2008-04-02 19:57:23 UTC - RP24 - Installed PPC 2003 - MSN (R) Messenger Update


-- First Restore Point -- 
1: 2008-03-19 21:05:34 UTC - RP3 - Installé Windows Live installer


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as LAURENTB.exe) --------------------------------------------

Unable to run HijackThis; 
Path: C:\PROGRA~1\TRENDM~1\HIJACK~1\LAURENTB.exe


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-04-06 19:29:41
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\ccmsetup\ccmsetup.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\winvnc4.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\Bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\iFrmewrk.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Microsoft ActiveSyncapimgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
D:\Documents and Settings\laurentb\Bureau\My Mobile\MyMobiler\MyMobiler.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\svchost.exe
D:\Documents and Settings\laurentb\Bureau\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://stinet
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://stinet
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.30.105:8080
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://stinet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\GoogleToolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSetup] E:\Setup\Setup.exe /start /restart /l:fra
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS
etwork diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS
etwork diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FoInstaller Class) - http://plugin.fileopen.com/current/FileOpen.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\Software\..\Telephony: DomainName = vwater-sti.fr
O17 - HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: Domain = vwater-sti.fr
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = vwater-sti.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O23 - Service: Bluetooth Hid Switch Service - Cambridge Silicon Radio - C:\Program Files\BlueTooth\HidSwitchService\HidSw.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\winvnc4.exe

moe · Answer

et le DSS (main) y un extra... il te le faut ? 

Non, non ça ira très bien avec celui que tu as envoyé.

Le temps de manger un bout et de regarder tout ça plus en détail et je repasse te dire quoi faire un peu plus tard.
Il reste encore quelques traces de Bagle mais rassures-toi rien de bien méchant et surtout rien d'actif ce qui est le principal pour l'instant.

Si tu peux et d'ici là, évite de redémarrer ton pc.

Bon app et à plus tard ! :-)

moe · Answer

Re,

Voilà pour la suite :

- Télécharge et installe CCleaner (sauf si tu as déjà ce programme):
https://www.ccleaner.com/ccleaner/download

- Télécharge OTMoveIt2 de Old_Timer sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

/!\ Déconnectes-toi d'intenet et referme les fenêtres de tous les programmes en cours. /!\


1/ Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste en gras qui se trouve ci-dessous :
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\!KillBox
C:\Muestras
C:\Program Files\Trend Micro
C:\quarantine\016.part.Vir
D:\Brice LAURENT\Films\ExpensePlus 1.2.zip
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe -startup
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\1LF3RO7V\b64_3[1].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\1LF3RO7V\b64_3[2].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\1LF3RO7V\b64_3[3].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\1LF3RO7V\b64_3[4].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\2TN5MM5R\b64_3[1].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\2TN5MM5R\b64_3[2].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\2TN5MM5R\b64_3[3].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\2TN5MM5R\b64_3[4].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\4I1BTSIT\b64_3[1].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\4I1BTSIT\b64_3[2].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\4I1BTSIT\b64_3[3].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\4I1BTSIT\b64_3[4].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\J0T1TC4O\b64_3[1].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\J0T1TC4O\b64_3[2].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\J0T1TC4O\b64_3[3].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\J0T1TC4O\b64_3[4].jpg
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\J0T1TC4O\b64_3[5].jpg

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression, si c'est le cas accepte par Yes. 

2/ Ouvre CCleaner :
Dans le menu Nettoyeur :
Clique sur [Analyse]
Puis sur le bouton [Lancer le nettoyage].
Referme CCleaner une fois le netoyage terminé.

3/ Désinstalles tes programmes de sécurité qui ont été corrompus par Bagle et/ou qui génère le message "...n'est pas une application Win32 valide"
Ton antivirus/pare-feu par exemple a du être touché et ne dois plus fonctionner correctement.

Est-ce que tu payes pour McAfee ?
Si oui et si tu souhaites le conserver, réinstalles-le, sinon je te conseille Antivir, gratuit mais dont l'interface est en anglais.
www.malekal.com/tutorial_antivir.php
http://speedweb1.free.fr/frames2.php?page=tuto5
A toi de voir.

4/ Désactive la restauration système.

Clic droit sur Poste de travail -> Propriétés -> onglet [Restauration système] 
Coche la case devant [Désactiver la Restauration du système] et/ou [Désactiver la restauration système sur tous les lecteurs].
clic sur [Appliquer] puis sur [Ok] pour valider

6/ Reconnectes-toi au net
Poste le rapport d'OTMoveIt et supprime le dossier C:\_OTMoveIt pour éviter que ces backups ne soient détectés par un prochain scan AV.

7/ Refais une dernière fois un scan AV en ligne avec Kaspersky : 
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 
Et poste le rapport.

Dis moi par la même occasion si c'est toi qui a installé RealVNC ?

8/ Reactive la restauration sytème :
Clic droit sur Poste de travail -> Propriétés -> onglet [Restauration système] 
Décoche la case devant [Désactiver la Restauration du système] et/ou [Désactiver la restauration système sur tous les lecteurs].

9/ Bon courage :-)

@++

bryceletarmo · Answer

Euh... pour kasperspy, je confirme... c long... 8%-4min
au cas ou juste, pour savoir, si y'a pas de virus, je réactive la restauration auto ?
je lance le scan par Antivir à kel moment ?

et pour mon soucis de demarrage selectif ? c'est compliqué peut etre vaut-il mieux que je t'attende ???

Brice

bryceletarmo · Answer

Et voila le rapport Kasperspy !!!

y a encore des trucs...


-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Sunday, April 06, 2008 10:20:01 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  6/04/2008
 Enregistrements dans la base antivirus Kaspersky : 686975
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: étendue
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	U:\

Statistiques de l'analyse:
	Total d'objets analysés: 36186
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 4 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 00:43:45

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\RealVNC\VNC4\vncconfig.exe	Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4	ignoré
C:\Program Files\RealVNC\VNC4\vncviewer.exe	Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4	ignoré
C:\Program Files\RealVNC\VNC4\winvnc4.exe	Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4	ignoré
C:\Program Files\RealVNC\VNC4\wm_hooks.dll	Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\00000001	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\00000002	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\00000003	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d1\00000048	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d2\00000011	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d3\00000012	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d3\00000032	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d4\0000096B	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d5\00000014	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d5\000005BC	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d6\0000002D	L'objet est verrouillé	ignoré
C:\WINDOWS\CSC\d7\0000004E	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\Netlogon.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{9694A6CA-C13F-42D9-BE84-F39FE1B84286}.bin	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\ccmsetup\ccmsetup.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Internet.evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
D:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\EmailOnDeliveryLog.txt	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Application Data\$_hpcst$.hpc	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Application Data\Microsoft\ActiveSync\Profiles\WM_LAURENTBepl.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Application Data\Microsoft\ActiveSync\Profiles\WM_LAURENTB\user.sdf	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Application Data\Microsoft\Outlook\Outlook.srs	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Cookies\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Application Data\Microsoft\Outlook\outlook.ost	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Temp\WCESLog.log	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Temp\WCESMgr.log	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb\NTUSER.DAT	L'objet est verrouillé	ignoré
D:\Documents and Settings\laurentb
tuser.dat.LOG	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré

Analyse terminée.

j'ai pas reactivé la restauration auto et j'ai pas redemarré le pc...

A++

Brice

bryceletarmo · Answer

j'ai lancé un scan antivir. et je vais lui dire de supprimé s'il trouve des trucs.

moe · Answer

Non le rapport est clean, kaspersky te détecte realvnc comme étant un outil potentiellement dangereux.
Si c'est toi qui l'a installé, pas de problèmes :-)
Pour le message lié au démarrage sélectif, je préfère attendre le résultat d'analyse d'antivir avant de te faire intervenir sur ce point, bien que je pense que le fichier en question est clean.
Ne t'inquiète pas, le démarrage en mode sélectif ne pose pas de problèmes pour ton pc et ni pour les applications installées.
S'il s'avère que C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe n'est pas détecté par antivir il te suffira juste de relancer msconfig et de rechocher la case correspondante dans l'onglet démarrage.
Le reboot suivant, tout sera rentré dans l'ordre et tu n'auras plus ce message.
Mais avant attend le résultat du rapport, se serait trop bête d'être trop pressé et de tout réinfecter. :-)

@+ tard

ps:
Pour la restau, réactives-là une fois le scan d'antivir terminé.

moe · Answer

Parfait, antivir a fait du bon boulot, on peut passer à la suite.

- Réactive la restauration système.

- Menu Démarrer > exécuter puis tape msconfig et valide

Dans l'onglet démarrage recoche la case concernant :
ISUSPM Startup C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
Applique et valide.
Chosis ensuite le redémarrage du pc.

Après le reboot :
Supprime dss.exe sur ton bureau, on en a plus besoin, puis le dossier C:\Deckard qu'il a crée.

Puis :
Télécharge et enregistre sur ton bureau, HijackThis:
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

1 - Sur ton bureau, double-clic sur HJTInstall.exe pour lancer le programme.
2 - Laisses le lieu d'enregistrement par defaut proposé par l'assistant.
3 - Accepte la license en cliquant sur le bouton [I Accept]
4 - L'interface du programme va alors s'ouvrir, clic sur [Do a system scan and save logfile] pour générer un rapport.

Copie et colle absolument tout le contenu du rapport dans ta prochaine réponse.

Et enfin, dis moi comment se comporte ton pc et si tu as toujours des problèmes au niveau de ta connexion WiFi.

@++

moe · Answer

Lol, content pour le wifi :-)
Ecoute je vais devoir déconnecter et je repasserais demain pour la suite, mais l'essentiel et le plus urgent est déjà fait :-).

Pour le démarrage sélectif, je viens de relire le rapport dss de tout à l'heure et je n'avais pas fait attention que tu avais déjà auparavant désactivé d'autres prog via cette méthode, donc c'est normal que le message revienne.
Deux possibilités :
Soit ont réactive provisoirement ce que tu avais annulé et on supprime définitivement ensuite via hijackthis ces entrées de démarrage.
Auquel cas le message n'apparaitra plus.
Soit lors du prochain reboot du pc, si tu souhaite conserver la possibilité de réactiver un jour ou l'autre ces entrées, tu verras dans la fenêtre du message une petite case à cocher, coche là et valide.
Au redémarrage suivant le message n'apparaitra plus.

Tu me diras demain ce que tu auras exactement choisis de faire.
Passe une bonne fin de soirée Brice et à demain.

PS pour jorginho67 s'il repasse par là :
Je t'ai répondu à la suite de ton premier message.

moe · Answer

Salut Brice

De rien...

Va pour le ménage dans le démarrage sélectif !
Alors voilà sauf erreur à quoi correspondent les 3 cases non cochées qu'il doit te rester dans msconfig :

- VirtualExpander <- Raccourci qui sert à acceder plus facilement au prog de ta clé usb Sony pour compresser/décompresser les données que tu transfère.
- H/PC Connection Agent "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
http://www.commentcamarche.net/processus/wcescomm exe.php3 
- swg C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe <- le fichier n'existe plus, tu l'a supprimé car vérolé par Bagle

- Menu Démarrer > exécuter puis tape msconfig et valide 
Dans l'onglet démarrage recoche les cases concernant :
H/PC Connection Agent
swg
VirtualExpander

Si jamais tu vois d'autres cases non cochées, recoches-les en notant au passage à quoi elles correspondent.
Valide et accepte le redémarrage du pc.
Si je n'ai pas dit trop de bétises, après le reboot tu n'auras plus le message pour le démarrage sélectif car toutes les cases seront à nouveau cochées.

Relance ensuite hijackthis à partir du raccourci sur le bureau.
Choisis l'option [Do a system scan and save logfile] pour générer un rapport.
Poste ce rapport dans ta prochaine réponse.

@+ tard

ps:
Ce pc te sert aussi pour le boulot ? (véolia revient souvent dans le rapport hijackthis)

bryceletarmo · Answer

Moe,

j'ai une clef USB Sony microvault 2Go qui ne marche plus est ce que ça peut venir de Bagle ?

j'entends bien le petit son Windows quand je la connecte et quand je la deconnecte, j'ai installé les drivers que j'ai trouvé (WIN98) mais impossible de la voir dans l'explorateur...

Si cela n'a rien a voir, laisse tomber le pb...

A++

moe · Answer

Salut Brice

Parfait pour le message, maintenant tu peux supprimer ces entrées inutiles via hijackthis.

Relance hijackthis partir du raccourci sur le bureau.

Choisis l'option [Do a system scan only] :
Coche la case au début des lignes suivantes : 
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSetup] E:\Setup\Setup.exe /start /restart /l:fra
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey 
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
Valide en cliquant sur le bouton [Fix checked]
Referme hijackthis.

S'il existe toujours, supprime ce dossier :
C:\Program Files\Network Associates
C'est un reste de McAfee.

Pour ton problème de clé je ne pense pas que ça vienne de Bagle.
Est-ce qu'une fois connectée elle est reconnue au niveau du gestionnaire des périphériques (Menu démarrer > Exécuter et tape devmgmt.msc) ou bien as-tu un '?' suivis de 'périphérique inconnu' à la place ?
 
@++

bryceletarmo · Answer

OK,

j'ai tout fait comme tu as dit avec hijacktihs.

pour la clef, non je n'ai pas de '?'. quand je connecte la clé, le gestionnaire de peripheriques me trouve un "volume de stockage" avec un "volume générique" dedans. si je fais propriété du volume générique, il me trouve bien le Sony Storage Media USB Device... je seche un peu là...

A+

PS : j'ai autre chose à faire pour Hijackthis ou autre ?

Brice

moe · Answer

Salut Brice

Non s'en est terminé avec hijackthis.

Si je comprends bien, le problème serait donc plus au niveau de l'explorateur qui n'affiche pas l'icône de ta clé malgré qu'elle soit bien reconnue ?

Tu vas essayer cette manip :

Avant tout et comme on va toucher au registre, tu vas faire une sauvegarde de la clé en question.

Menu démarrer > exécuter > Tape regedit et valide.

Déploies la clé HKEY_CURRENT_USER à l'aide du signe '+' qui est juste devant puis déploies de la même manière et en suivant :
[-] Software
   [-] Microsoft
      [-] Windows
        [-] CurrentVersion
          [-] Explorer
            [+] MountPoints2
Clic sur  MountPoints2 pour le mettre en surbrillance, puis fais un clic droit sur MountPoints2.
Choisis dans le menu qui apparaîtra : Exporter.
Donne un nom à ta sauvegarde et éventuellement choisis le bureau comme lieu d'enregistrement.
Veille à ce que "Branche selectionné" soit bien selectionné, puis clic sur enregistrer.

Ensuite, fais un clic droit sur MountPoints2 et clic sur "Supprimer".
La clé sera automatiquement recréée par le système après un redémarrage du pc.

Redémarre donc ton pc et réessaye après le reboot de connecter ta clé et de voir si cette fois son icône est visible via l'explorateur ou le poste de travail.

@++

moe · Answer

Salut Brice

C'est ralant en effet !
En fait si tu es chez toi, la clé fonctionne normalement, mais au bureau sur un autre pc ça ne marche pas, c'est bien çà ? 

est ce que je mets ma discussion sur résolu ou c toi qui fait ? 
Bah c'est à toi de le faire si tu le souhaite car moi je n'en ai pas les moyens :-)

De rien brice, et si tu veux vraiment aider à ton tour, bah choisis une section de forum qui te conviens sur le site et regarde sii tu peux à ton tour répondre à quelqu'un qui cherche une réponse, ce serait sympa et dans l'esprit comme renvois d'ascenseur :-)

@++

moe · Answer

Exact, dans ce cas je pense aussi à un problème d'affectation de lettre  car il peut y avoir conflit entre les lecteurs réseaux et amovibles.

Tu as peut-être un début de solution ici... :
http://www.dane-elec.ie/scripts/home/publigen/content/templates/TPL_ADV_FAQ_01.asp?P=337&L=FR&SYNC=YES

@++

bryceletarmo · Answer

Resolu

moe · Answer

Salut brice

Lol, content pour toi !!

Bonne continuation !

@++

Wintems - demarrage sans echec impossible

30 réponses

Discussions similaires

Newsletters