Sujet Précédent Sujet Suivant

BAGLE - installation anti virus impossible

carospears -  
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
Bonjour,

Je viens d'acquérir il y a quelques jours un portable sous vista
sur lequel j'ai voulu installé l'antivirus AVG

j'ai systématiquement ce message d'erreur
Local machine: installation faileda
Initialization:
Warning: Windows Firewall activity checking failed.
Le mappeur de point final n'a plus de point final disponible. (1753)
Installation:
Error: Action failed for file avgrssvc.exe: starting service....
%1 n'est pas une application Win32 valide. (193)

J'ai fait un scan Bitdefender on line qui me donne
BitDefender Online Scanner - Rapport virus en temps réel

Généré à: Sat, Apr 12, 2008 - 17:06:08
--------------------------------------------------------------------------------

Info d'analyse

Fichiers scannés
96074

Infectés Fichiers
1

Virus Détectés

Trojan.Downloader.Bagle.HD
1

J'ai ensuite fait ce scan avec un outils en espagnol
Sat Apr 12 17:39:18 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
Reinicie para Completar la Limpieza.

Sat Apr 12 17:39:52 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\MDELK.EXE --> Eliminado Bagle
C:\Windows\System32\WINTEMS.EXE.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
C:\Windows\System32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\Windows\System32\drivers\downld\14895849.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\1906535.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\downld\81307.EXE --> Eliminado Bagle

Nº Total de Directorios: 12298
Nº Total de Ficheros: 96628
Nº de Ficheros Analizados: 12506
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados: 6

Sat Apr 12 17:48:04 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12298
Nº Total de Ficheros: 96623
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Apr 12 17:51:46 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12299
Nº Total de Ficheros: 96626
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Apr 12 17:55:08 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12299
Nº Total de Ficheros: 96626
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Apr 12 17:58:47 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12299
Nº Total de Ficheros: 96626
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Apr 12 18:02:22 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12299
Nº Total de Ficheros: 96626
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Apr 12 18:05:49 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR.VIR.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12299
Nº Total de Ficheros: 96628
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sat Apr 12 18:09:16 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR.VIR.VIR.VIR.VIR --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 12299
Nº Total de Ficheros: 96628
Nº de Ficheros Analizados: 12501
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

VOILA je suis infecté par BAGLE et je ne sais plus quoi faire?

Merci de votre aide
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

redemarre en mode sans échec et repasse élibagla !

et poste le rapport stp

++
0
Réponse 2 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut Green day,
ne faudrait-il pas renommer Elibagla en "WINTEMS.EXE" pour plus d'efficacité ?
0
Réponse 3 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut sKe69

je procède par étape, il y a la mention : Reiniciar para completar la Limpieza

donc on verra bien ce que ça donne en mode sans échec ! quoi que le rapport ne mentionne pas la restauration de la clé safeboot ...

il existe plusieurs methodes pour virer cette bébétte !

++

0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Merci pour l'info !
mais un bagle pour moi c'est plutôt de "la grosse bestiole tenace " ! ;p
Bon courage à tous les deux !
( je vais suivre la manoeuvre attentivement pour mieux comprendre =) )
0
Réponse 4 / 30
carospears
 
Voila le rapport Elibagla
après un redémarrage en mode sans échec
Sun Apr 13 11:27:49 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Sun Apr 13 11:27:53 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR.VIR.VIR.VIR.VIR.VIR --> Eliminado Bagle

Nº Total de Directorios: 12352
Nº Total de Ficheros: 98195
Nº de Ficheros Analizados: 12505
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Sun Apr 13 11:27:49 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Sun Apr 13 11:27:53 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\WINTEMS.EXE.VIR.VIR.VIR.VIR.VIR.VIR.VIR.VIR.VIR --> Eliminado Bagle

Nº Total de Directorios: 12352
Nº Total de Ficheros: 98195
Nº de Ficheros Analizados: 12505
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
v
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Parfait !

Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

++
0
Réponse 6 / 30
carospears
 
Voici le rapport complet de Comfix

ComboFix 08-04-12.7 - SYSTEM 2008-04-13 11:37:53.1 - NTFSx86 NETWORK
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1658 [GMT 2:00]
Endroit: C:\Windows\system32\config\systemprofile\Desktop\ComboFix.exe
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DRV\Tuner\Yuan\Resources\_desktop.ini
C:\Windows\system32\ACER.exe
C:\Windows\system32\drivers\downld
C:\Windows\system32\drivers\downld\10551268.exe
C:\Windows\system32\drivers\downld\10564886.exe
C:\Windows\system32\drivers\downld\10581048.exe
C:\Windows\system32\drivers\downld\10593528.exe
C:\Windows\system32\drivers\downld\10603138.exe
C:\Windows\system32\drivers\downld\10606133.exe
C:\Windows\system32\drivers\downld\107625.exe
C:\Windows\system32\drivers\downld\107843.exe
C:\Windows\system32\drivers\downld\110809335.exe
C:\Windows\system32\drivers\downld\110824202.exe
C:\Windows\system32\drivers\downld\110835247.exe
C:\Windows\system32\drivers\downld\110847072.exe
C:\Windows\system32\drivers\downld\110863748.exe
C:\Windows\system32\drivers\downld\110876228.exe
C:\Windows\system32\drivers\downld\110893154.exe
C:\Windows\system32\drivers\downld\110905463.exe
C:\Windows\system32\drivers\downld\110917740.exe
C:\Windows\system32\drivers\downld\123895.exe
C:\Windows\system32\drivers\downld\132491.exe
C:\Windows\system32\drivers\downld\146422.exe
C:\Windows\system32\drivers\downld\14913305.exe
C:\Windows\system32\drivers\downld\14942836.exe
C:\Windows\system32\drivers\downld\14955301.exe
C:\Windows\system32\drivers\downld\14962991.exe
C:\Windows\system32\drivers\downld\14968155.exe
C:\Windows\system32\drivers\downld\161960.exe
C:\Windows\system32\drivers\downld\175922.exe
C:\Windows\system32\drivers\downld\1917236.exe
C:\Windows\system32\drivers\downld\1948000.exe
C:\Windows\system32\drivers\downld\201490.exe
C:\Windows\system32\drivers\downld\207169.exe
C:\Windows\system32\drivers\downld\216248.exe
C:\Windows\system32\drivers\downld\2175543.exe
C:\Windows\system32\drivers\downld\2197898.exe
C:\Windows\system32\drivers\downld\2207117.exe
C:\Windows\system32\drivers\downld\2213264.exe
C:\Windows\system32\drivers\downld\223393.exe
C:\Windows\system32\drivers\downld\241161.exe
C:\Windows\system32\drivers\downld\25010205.exe
C:\Windows\system32\drivers\downld\25023465.exe
C:\Windows\system32\drivers\downld\25052855.exe
C:\Windows\system32\drivers\downld\25065023.exe
C:\Windows\system32\drivers\downld\25074571.exe
C:\Windows\system32\drivers\downld\25077316.exe
C:\Windows\system32\drivers\downld\255919.exe
C:\Windows\system32\drivers\downld\268758.exe
C:\Windows\system32\drivers\downld\272268.exe
C:\Windows\system32\drivers\downld\286636.exe
C:\Windows\system32\drivers\downld\303297.exe
C:\Windows\system32\drivers\downld\39480686.exe
C:\Windows\system32\drivers\downld\39494851.exe
C:\Windows\system32\drivers\downld\39533289.exe
C:\Windows\system32\drivers\downld\39546003.exe
C:\Windows\system32\drivers\downld\39555488.exe
C:\Windows\system32\drivers\downld\39558218.exe
C:\Windows\system32\drivers\downld\476973.exe
C:\Windows\system32\drivers\downld\481653.exe
C:\Windows\system32\drivers\downld\53962649.exe
C:\Windows\system32\drivers\downld\53980089.exe
C:\Windows\system32\drivers\downld\54138040.exe
C:\Windows\system32\drivers\downld\54151784.exe
C:\Windows\system32\drivers\downld\54164249.exe
C:\Windows\system32\drivers\downld\54167369.exe
C:\Windows\system32\drivers\downld\68588257.exe
C:\Windows\system32\drivers\downld\68604356.exe
C:\Windows\system32\drivers\downld\68631173.exe
C:\Windows\system32\drivers\downld\68643715.exe
C:\Windows\system32\drivers\downld\68653122.exe
C:\Windows\system32\drivers\downld\68655884.exe
C:\Windows\system32\drivers\downld\83059315.exe
C:\Windows\system32\drivers\downld\83064619.exe
C:\Windows\system32\drivers\downld\83072607.exe
C:\Windows\system32\drivers\downld\83088503.exe
C:\Windows\system32\drivers\downld\83103854.exe
C:\Windows\system32\drivers\downld\83116256.exe
C:\Windows\system32\drivers\downld\86284.exe
C:\Windows\system32\drivers\downld\97519610.exe
C:\Windows\system32\drivers\downld\97532807.exe
C:\Windows\system32\drivers\downld\97554445.exe
C:\Windows\system32\drivers\downld\97566020.exe
C:\Windows\system32\drivers\downld\97577252.exe
C:\Windows\system32\x64
C:\Windows\system32\x64\csnp2uvc.dll
C:\Windows\system32\x64\rsnpvc64.dll
C:\Windows\system32\x64\sncduvc.sys
C:\Windows\system32\x64\snp2uvc.sys
C:\Windows\system32\x64\vsnpvc64.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA
-------\Service_PortProxy

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-13 to 2008-04-13 ))))))))))))))))))))))))))))))))))))
.

2008-04-13 11:37 . 2008-04-13 11:37 <REP> dr------- C:\Windows\System32\config\systemprofile\Documents
2008-04-12 16:27 . 2008-04-12 17:06 <REP> d-------- C:\Windows\BDOSCAN8
2008-04-12 16:03 . 2008-04-12 16:03 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-04-12 16:03 . 2008-04-12 17:21 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-12 16:03 . 2008-04-12 16:03 <REP> d-------- C:\PROGRA~2\Spybot - Search & Destroy
2008-04-09 20:50 . 2008-04-09 20:50 <REP> d-------- C:\Program Files\Norton AntiVirus
2008-04-09 19:12 . 2003-06-19 01:31 17,920 --a------ C:\Windows\System32\mdimon.dll
2008-04-09 19:12 . 2008-04-09 19:12 382 --a------ C:\Windows\ODBC.INI
2008-04-09 19:08 . 2008-04-09 19:08 <REP> d-------- C:\Program Files\Microsoft.NET
2008-04-06 18:10 . 2008-04-06 18:10 <REP> d-------- C:\Program Files\VideoLAN
2008-04-06 17:18 . 2008-04-06 17:18 <REP> d-------- C:\Program Files\MSECache
2008-04-06 17:17 . 2008-04-10 04:08 <REP> d-------- C:\Program Files\ItsLabel
2008-04-06 17:17 . 2008-04-06 17:17 <REP> d-------- C:\Program Files\EoRezo
2008-04-06 16:06 . 2008-04-06 16:06 <REP> d-------- C:\Program Files\SLD Codec Pack
2008-04-05 21:04 . 2008-04-05 21:04 333,643,032 --a------ C:\Windows\MEMORY.DMP
2008-04-05 18:24 . 2008-04-05 18:24 <REP> d-------- C:\Users\All Users\Lavasoft
2008-04-05 18:24 . 2008-04-05 18:24 <REP> d-------- C:\Program Files\Lavasoft
2008-04-05 18:24 . 2008-04-05 18:24 <REP> d-------- C:\PROGRA~2\Lavasoft
2008-04-05 18:23 . 2008-04-05 18:23 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-04-05 17:11 . 2008-04-05 17:11 <REP> d-------- C:\Program Files\CCleaner
2008-04-05 11:45 . 2008-04-05 11:45 <REP> d-------- C:\Program Files\Alwil Software
2008-04-03 22:52 . 2008-04-03 22:52 <REP> d-------- C:\Users\All Users\Forge of Games
2008-04-03 22:52 . 2008-04-03 22:52 <REP> d-------- C:\PROGRA~2\Forge of Games
2008-04-03 22:49 . 2008-04-03 22:49 <REP> dr------- C:\Windows\System32\config\systemprofile\Music
2008-04-03 22:04 . 2008-04-03 22:04 1,712,984 --a------ C:\Windows\System32\wuaueng.dll
2008-04-03 22:04 . 2008-04-03 22:04 1,524,224 --a------ C:\Windows\System32\wucltux.dll
2008-04-03 22:04 . 2008-04-03 22:04 163,000 --a------ C:\Windows\System32\wuwebv.dll
2008-04-03 22:04 . 2008-04-03 22:04 53,080 --a------ C:\Windows\System32\wuauclt.exe
2008-04-03 22:04 . 2008-04-03 22:04 43,352 --a------ C:\Windows\System32\wups2.dll
2008-04-03 22:04 . 2008-04-03 22:04 31,232 --a------ C:\Windows\System32\wuapp.exe
2008-04-03 22:01 . 2008-04-03 22:01 <REP> d-------- C:\Users\All Users\Yahoo! Companion
2008-04-03 22:01 . 2008-04-03 22:01 <REP> d-------- C:\PROGRA~2\Yahoo! Companion
2008-04-03 21:53 . 2008-04-03 21:53 <REP> d-------- C:\Users\All Users\WLInstaller
2008-04-03 21:53 . 2008-04-03 21:58 <REP> d-------- C:\Program Files\Windows Live
2008-04-03 21:53 . 2008-04-03 21:58 <REP> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-03 21:53 . 2008-04-03 21:53 <REP> d-------- C:\PROGRA~2\WLInstaller
2008-04-03 18:43 . 2008-04-03 18:43 <REP> dr------- C:\Users\Damien\Searches
2008-04-03 18:43 . 2008-04-04 00:06 <REP> dr------- C:\Users\Damien\Contacts
2008-04-03 18:42 . 2008-04-03 18:43 <REP> dr------- C:\Users\Damien\Videos
2008-04-03 18:42 . 2008-04-03 19:55 <REP> dr------- C:\Users\Damien\Saved Games
2008-04-03 18:42 . 2008-04-03 18:43 <REP> dr------- C:\Users\Damien\Pictures
2008-04-03 18:42 . 2008-04-03 18:43 <REP> dr------- C:\Users\Damien\Music
2008-04-03 18:42 . 2008-04-03 18:43 <REP> dr------- C:\Users\Damien\Links
2008-04-03 18:42 . 2008-04-03 21:52 <REP> dr------- C:\Users\Damien\Downloads
2008-04-03 18:42 . 2008-04-12 17:27 <REP> dr------- C:\Users\Damien\Documents
2008-04-03 18:42 . 2008-04-03 18:42 <REP> d--h----- C:\Users\Damien\AppData
2008-04-03 18:42 . 2008-04-03 18:42 <REP> d-------- C:\Program Files\Yahoo!
2008-04-03 18:38 . 2008-04-03 18:38 <REP> dr------- C:\Windows\System32\config\systemprofile\Contacts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-10 02:07 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-09 20:46 --------- d-----w C:\PROGRA~2\Symantec
2008-04-09 19:14 806 ----a-w C:\Windows\system32\drivers\SYMEVENT.INF
2008-04-09 19:14 10,652 ----a-w C:\Windows\system32\drivers\SYMEVENT.CAT
2008-04-06 15:29 --------- d-----w C:\Program Files\Microsoft Works
2008-04-06 15:29 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-04-05 09:43 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-03 16:38 --------- d-sh--w C:\Program Files\Fichiers communs
2008-04-03 16:38 --------- d-sh--w C:\PROGRA~2\Modèles
2008-04-03 16:38 --------- d-sh--w C:\PROGRA~2\Menu Démarrer
2008-04-03 16:38 --------- d-sh--w C:\PROGRA~2\Favoris
2008-04-03 16:38 --------- d-sh--w C:\PROGRA~2\Bureau
2006-11-02 12:50 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2006-11-02 14:35 1196032]
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [ ]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-04-12 16:03 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 08:58 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 05:06 4669440 C:\Windows\RtHDVCpl.exe]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 16:33 457216]
"Acer Tour"="" []
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-07-25 17:39 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-07-25 17:39 8470528]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-07-25 17:39 81920]
"PLFSetL"="C:\Windows\PLFSetL.exe" [2007-07-05 13:35 94208]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2007-06-27 11:15 752136]
"PlayMovie"="C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 14:38 206952]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 14:00 174872]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2007-06-06 10:06 159744]
"eRecoveryService"="" []
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [ ]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 21:48 57344]
"eAudio"="C:\Acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 14:54 1286144]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-04-03 17:47 561152]
"ItsTV"="C:\Program Files\ItsLabel\ItsTV.exe" [2007-04-26 16:19 2908160]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-08-10 09:29:07 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=eNetHook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-32657837-3195804750-840997833-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1ACDC690-E812-4BF4-8277-CADB310BB196}"= Profile=Public|C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{975C10A6-89E7-450F-8386-9F6BEC5992B5}"= C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician
"{4B2A96AC-90BB-469D-96F2-1E462E2F2103}"= C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia
"{CB0A5015-2744-4511-8C92-B47FF3948EAF}"= Profile=Public|C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard
"{849D0299-7E5F-4D16-821F-6475DF1EFD43}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{25219AE5-C395-490A-927D-5917C456B162}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{647BEEBF-1702-4B7D-B44D-635EF1669066}"= Profile=Public|C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine
"{E61A4B07-04B7-4AD0-A2D2-B290D668900B}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie
"{96D3D31D-F579-478B-B04A-AFF286FF1274}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program
"{4D3B2B7F-C597-48D7-85E3-4E1C50EC7442}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{E1C1CCA2-BDB6-4144-A5AC-2F7D63988267}F:\\emule\\emule.exe"= UDP:F:\emule\emule.exe:eMule
"UDP Query User{A8787CF2-593B-499B-9912-64AE4CB1E992}F:\\emule\\emule.exe"= TCP:F:\emule\emule.exe:eMule
"{3D1883C5-E0E3-40D7-9377-27C32B2CE467}"= Disabled:C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{99438046-B574-40E7-87BA-63A208798803}"= Disabled:C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard
"{8846E3AF-245F-4887-8B98-A164DD0708DF}"= Disabled:C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)
"DisabledInterfaces"= {16B8C993-FC52-4DB8-BC23-BCB4264B97BC},{C0F5D793-E3DB-40BD-BDA8-DCAEC611D4B9}

R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2007-04-25 16:34]
R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2007-04-25 16:34]
R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2007-04-25 16:34]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\[u]0/u00.fcl [2006-11-02 17:51]
R2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-01-26 14:24]
R2 eDataSecurity Service;eDSService.exe;"C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe" [2007-04-25 16:34]
R2 eNet Service;eNet Service;C:\Acer\Empowering Technology\eNet\eNet Service.exe [2007-05-22 15:00]
R2 eSettingsService;eSettings Service;C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2007-05-10 14:05]
R2 MobilityService;MobilityService;C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 12:57]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R2 WMIService;ePower Service;C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2007-09-14 14:32]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2007-01-30 07:23]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 10:57]
R3 enecir;ENE CIR Receiver;C:\Windows\system32\DRIVERS\enecir.sys [2007-03-07 10:26]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d17f2ea-01ee-11dd-978d-001b38702c8c}]
\shell\AutoRun\command - G:\nideiect.com
\shell\explore\Command - G:\nideiect.com
\shell\open\Command - G:\nideiect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e26b7ea-a1e7-11dc-ac3c-806e6f6e6963}]
\shell\AutoRun\command - E:\CDStart.Exe
\shell\Install\Command - E:\Stub.exe

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-13 11:42:29
Windows 6.0.6000 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\runonce.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\PresentationSettings.exe
C:\Users\Damien\Desktop\mdelk.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-13 11:43:43 - machine was rebooted [Damien]
ComboFix-quarantined-files.txt 2008-04-13 09:43:37
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Post-Run: 53,074,198,528 octets libres
0
Réponse 7 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
ok,

télécharge ceci :https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
* Installez le programme sur le bureau :
o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
* Démarrez en mode sans échec
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
* Un rapport sera généré, enregistrez le de manière à le retrouver

==> poste le stp !

++
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ton lien est mal collé ;)
0
Réponse 8 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
That's right ! :)

==> http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

@+
0
Réponse 9 / 30
carospears
 
Voila lle résultat après un scan complet de tout les disques dur
avec Malwarebytes' Anti-Malware

L'examen s'est terminé normalement.
aucun élement nuisible n'a été détecté

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 619

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 150169
Temps écoulé: 51 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

J'ai refait une tentative d'installation d'AVG pour voir
et j'ai ce message
Local machine: installed successfully
Initialization:
Warning: Windows Firewall activity checking failed.
Le mappeur de point final n'a plus de point final disponible. (1753)

Que dois je faire maintenant...? Merci de votre aide précieuse
0
Réponse 10 / 30
carospears
 
Info complémentaire
si je tente de lancer spybot pour faire un netoyage de mon pc
j'ai immédiatement comme message
C:\Program Files\Spybot - Search Spybot & Destroy\SpybotSD.exe n'est pas une application Win32 valide.
0
Réponse 11 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
ok, fais un clic droit sur elibagla < renommer et nomme le : mdelk.exe

fais un scan en mode sans echec et poste le rapport stp

++
0
Réponse 12 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
je me permet juste une petite insertion dans le sujet pour dire ce-ci :

je rappelle que bagle est amené par le téléchargement d' un crack et qu'il se relance dès que tu te sers de celui ci ; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essaye surtout de te rappeler si réçament tu n' as pas clicker sur un "patch" ou un "keygen"pour instaler un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip consernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les patchs qui sont sur ton PC ... ;)

Voili , Voilou pour le conseil ...
0
Réponse 13 / 30
carospears
 
Voila le dernier rapport Elibagla après l'avoir renommer mdelk.exe

Sun Apr 13 11:42:25 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Apr 13 14:16:47 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Apr 13 14:16:49 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12980
Nº Total de Ficheros: 101599
Nº de Ficheros Analizados: 13432
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sun Apr 13 11:42:25 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Apr 13 14:16:47 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Apr 13 14:16:49 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12980
Nº Total de Ficheros: 101599
Nº de Ficheros Analizados: 13432
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sun Apr 13 11:42:25 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Apr 13 14:16:47 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Apr 13 14:16:49 2008
EliBagle v11.25 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12980
Nº Total de Ficheros: 101599
Nº de Ficheros Analizados: 13432
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
0
Réponse 14 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
ok

==> ouvrez une invite de commande et entrez la ligne suivante :
o findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\bureau\Startvir.txt"
o Le fichier Startvir.txt sur le bureau listera les fichiers suspects trouvés, il vous suffira après interprétation des résultats de supprimer les fichiers.

==> poste le stp

++
0
Réponse 15 / 30
carospears
 
Je ne trouve pas l'invit de commande sous vista ??
0
Réponse 16 / 30
carospears
 
J'ai trouvé l'invit de commande

j'ai mis C:\Users \Damien\findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\bureau\Startvir.txt"
et j'ai comme réponse

Le chemin d'accès spécifié est introuvable

je suis pas très doué en invit de commande
0
Réponse 17 / 30
carospears
 
J'ai executé la commande en tant qu'administrateur
C:\Windows\System32f>indstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\bureau\Startvir.txt"
j'ai comme réponse

Le chemin d'accès spécifié est introuvable

J'ai peut être fait une erreur dans la ligne de commande
0
Réponse 18 / 30
carospears
 
Avez vous un piste ou une solution pour mon souci ?
0
Réponse 19 / 30
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
on continue !

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

++
0
Réponse 20 / 30
carospears
 
J'ai beau double cliquer sur RunThis.cmd après un reboot
je suis en mode sans échec en vain
la fenêtre ne veut pas s'ouvrir
je ne peux pas lancer le processus de nettoyage
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Mac comment taper l'inverse d'un slash (/) ?
caldu -
@Adriendu10_MC sur Twitter -

12 réponses
Le Backslash
ClownClone -
baladur13 -

12 réponses
Comment faire un anti-slash ?
Utilisateur anonyme -
Hades -

6 réponses