Virus: plus d'internet, Antivir inutilisableRésolu/Fermé

Question

Bonjour,
Mon ordinateur Portable vient d'être infecté par un virus, c'est la première fois que ça m'arrive et je ne sais vraiment pas par quoi commencé..............j'explique ma situation :

OS : xp familial

j'ai ouvert très bêtement un fichier .exe, il s'avère que c'était un VIRUS.
Les symptômes que j'ai constaté pour le moment :

- je ne peut plus me connecter à internet, quand je veux chercher un réseau sans fils j'ai message du type : "windows ne peux pas configurer cette connexion sans fil, si vous avez autorisé un autre programme à gérer etc...."

- mon antivirus ne se lance plus , et quand j'essaie de le lancer il s'affiche "C:/..../antivir n'est pas une application win32 valide"

- j'ai essayé de faire une restauration mais ça ne marche pas......."restauration incomplète"

Je ne sais pas du tout par quoi commencer dans ces conditions, j'ai fait quelques recherches sur internet, j'ai vu qu'ils y avaient des sites permettant de faire des scans mais sans connexion........difficile....


J'ai trouvé une réponse très complète à cette adresse : http://www.commentcamarche.net/forum/affich 5596065 ordinateur portabel infecte par un virus

Je me demande si cette solution peux marcher dans mon cas ?
Sinon que faire ?

Je ne sais pas si ces informations sont suffisantes
Merci d'avance de vos réponse


PS : je sais pas du tout si ça peut aider mais quand je fais alt+ctrl+suppr dans le processus, y en a un qui s'appelle "processus inactif" qui fait 28 ko, impossible à arrêter et qui n'a pas de "00" mais un chiffre autour de 90 dans la colonne processeur.....louche pour un processus inactif....

dou-l · Answer

salut,

tu es visiblement infecter par bagle :


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

-----------

Fais DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure

----------


* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).


et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!!


merci jlpjlp

jlpjlp · Answer

slt,je te laise faire

a bientôt!!!

dou-l · Answer

salut, ca va ??

Tu continue ou je continue

Faut vraiment que je mon propre canned ^^

jlpjlp · Answer

je te laisse faire

a bientôt

dou-l · Answer

ok merci a+

dou-l · Answer

fait elibagla stp

mattspider · Answer

bon j'ai l'impression que ça a complètement planté.........la fenêtre d'elibagla a disparu et le menu démarrer ne répond pas.........je pense que c'est l'exècution de combofix qui a fait ça non ?? parce que c'était vraiment grave comme plantage....

dou-l · Answer

ok vire combofix stp et recommence elibagla ta viré ton crack .?

mattspider · Answer

bon là ça plante sérieusement, les icônes de mon bureau ont disparu et rien ne répond mis à par la commande alt ctrl suppr.............dois-je redémarrer ???

dou-l · Answer

ok 


pour virer completement combofix 
* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

    * Clique sur Recherche et laisse le scan se terminer.


    * Clique, sur Suppression pour finaliser.


    * Tu peux, si tu le souhaites, te servir des Options facultatives.


    * Clique sur Quitter, pour que le rapport puisse se créer.


    * Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

mattspider · Answer

bon alors, le rapport je pense n'est pas celui attendu.........

______________________________________________________________________________
-->- Recherche: 

C:\Qoobox: trouvé !

---------------------------------
-->- Suppression: 

C:\Qoobox: ERREUR DE SUPPRESSION !!

Sauvegarde du registre crée !
________________________________________________________________________________

j'ai aussi trouvé ça dans le même dossier (je pense que c'est elibagla)

Wed Apr 16 18:27:51 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 18:30:00 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Wed Apr 16 18:53:11 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 18:55:02 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 18:55:10 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

dou-l · Answer

ok redemarre en mode sans echec et fais passer 3-4 fois elibgla et colle les rapport

mattspider · Answer

pour le mode sans échec tu rentre dans le bios c'est ça ? mais après tu fais comment ???

dou-l · Answer

regarde le lien http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

priviligie la methode f8

mattspider · Answer

bon je trouve pas le mode sans échec, pour rentrer dans le bios moi c'est f2 mais je sais pas du tout ou trouver ce mode après..........

en plus je peut pas utiliser la deuxième méthode vu que mon ordi est infecté............


PS : maintenant que j'y pense tout à l'heure j'ai vu sur un forum un gars qui avait un virus (similaire au miens je pense ) et qui été dans l'impossibilité de démarrer en sans échec .....

c'est possible ça que le virus m'empêche d'avoir la commande ????

dou-l · Answer

Oui c'est possible 

c'est une vraie plaie ce virus !!



Désactive le contrôle des comptes utilisateurs :


- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


Puis refait un combofix en le renomment !!

mattspider · Answer

désactiver c'est supprimé ? faut que je supprime toutes les sessions ou seulement la mienne ??

dou-l · Answer

Non faut juste desactiver tu réactivera pares ta desfinction :


Désactive le contrôle des comptes utilisateurs :


- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

mattspider · Answer

mais attend moi quand je vais comptes utilisateurs ya marqué nulle part désactiver............ 

et puis désactiver quoi d'abord ????

jlpjlp · Answer

en passant il est sous xp donc pour les comptes utilisateur pas besoin

pour demarrer en mode sans echec il faut pas aller dans le bios donc ne pas faire F2 mais essyer F5 ou F8 ou  SUPPR ou ESC   ou sinon regarder dans ton manuel d'ordi la touche a utiliser

https://www.informatruc.com

________________

puis refaire en mode sans echec elibaga

dou-l · Answer

Laisse tomber j'ai eu une confusion entre les post !!

Refais combo en le renommant

dou-l · Answer

re,

je me suis trompé dans les poste et je m'en excuse jlp

dou-l · Answer

Ok merci a toi

Pour ce soir je dois arreter donc si il répond tu peux prendre la suite ?

Je revien demain  soir a+

mattspider · Answer

heu là j'arrive vraiment pas à redémarrer en sans-échec.......je trouve vraiment pas comment faire.....

jlpjlp · Answer

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic 

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider. 
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. 

_______________

lance fx bagle:

https://www.broadcom.com/support/security-center

_____________

refais elibaga




mode sans echec:

http://assiste.com.free.fr/...

jlpjlp · Answer

refais combofix car il y a eu une erreur

puis fais fx bagle

puis:


* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau. 
* Double-cliquez dessus pour l'ouvrir 
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ 
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée 
* Cliquez sur le bouton Explorar pour lancer l'analyse 

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci 

Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 
a "virus@satinfo.es". Gracias; 

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es). 


et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!! 

------------ 
essaye de reparer ta connection internet avec lspfix: si elle ne marche toujours pas
http://forum.pcinfo-web.com/showthread.php?tid=48

----------
colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr 

secuser en ligne : 
http://www.secuser.com/outils/antivirus.htm 

scan en ligne firefox 

https://www.trendmicro.com/fr_fr/business.html

Mattspider · Answer

Nouveaux rapport combo fix ( je pense que ya pas bcp de différence avec le précédent mais bon......) ComboFix 08-04-15.4 - pierre 2008-04-16 22:40:28.3 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.219 [GMT 2:00] Endroit: C:\Documents and Settings\pierre\Bureau\Combo-Fix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\downld C:\WINDOWS\system32\drivers\hldrrr.exe . . . . Echec de suppression C:\WINDOWS\system32\drivers\mdelk.exe . . . . Echec de suppression C:\WINDOWS\system32\drivers\srosa.sys . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-16 to 2008-04-16 )))))))))))))))))))))))))))))))))))) . 2008-04-16 19:16 . 2008-04-16 19:16 108,566,370 --a------ C:\Sauv.reg 2008-04-16 18:27 . 2008-04-16 18:27 d-------- C:\Muestras 2008-04-16 17:50 . 2008-04-16 17:50 d--hs---- C:\FOUND.001 2008-04-16 17:38 . 2008-04-16 22:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-16 17:38 . 2008-04-16 17:38 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-16 17:24 . 2008-04-16 17:24 d-------- C:\KillBagle 2008-04-16 13:51 . 2008-04-16 13:51 d--hs---- C:\FOUND.000 2008-04-16 13:27 . 2008-04-16 13:27 d-------- C:\Program Files\Fichiers communs\eSellerate 2008-04-16 12:59 . 2008-04-16 12:59 46,372 --ah----- C:\WINDOWS\system32\mlfcache.dat 2008-04-15 20:15 . 2008-04-15 20:15 d-------- C:\Program Files\Safari 2008-04-15 20:13 . 2008-04-15 20:13 d-------- C:\Program Files\iPod 2008-04-15 20:12 . 2008-04-15 20:12 d-------- C:\Program Files\iTunes 2008-03-30 14:05 . 2008-03-30 14:11 19,558 --a------ C:\WINDOWS\hpoins01.dat 2008-03-30 14:05 . 2003-04-22 19:01 16,606 --------- C:\WINDOWS\hpomdl01.dat 2008-03-30 14:02 . 2008-03-30 14:02 d-------- C:\Temp\HP All-in-One Series Web Release 2008-03-30 13:44 . 2008-03-30 13:44 d-------- C:\WINDOWS\system32\NtmsData 2008-03-30 13:33 . 2008-03-30 13:33 d-------- C:\Program Files\HP 2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-15 11:26 744 ----a-w C:\Documents and Settings\pierre\Application Data\filterclsid.dat 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-03 07:46 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-03-02 17:49 --------- d-----w C:\Program Files\iTunes Art Importer 2008-03-02 17:40 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition 2008-03-02 17:31 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-03-02 17:31 --------- d-----w C:\Program Files\Windows Live 2008-03-02 17:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:35 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-02-01 09:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR 2008-01-29 10:02 107,368 ----a-w C:\WINDOWS\system32\GEARAspi.dll 2005-07-27 18:30 329 ---ha-w C:\Documents and Settings\marianne\hpothb07.dat 2005-07-01 12:40 45,184 ----a-w C:\Documents and Settings\pierre\Application Data\GDIPFONTCACHEV1.DAT 2005-05-31 07:32 327 ---ha-w C:\Documents and Settings\olivier\hpothb07.dat 2005-05-09 10:10 7,412,936 ----a-w C:\Documents and Settings\pierre\INSTALL_MSN_MESSENGER_DL.EXE 2007-02-07 19:26 12,208 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-04-16_22.01.08.12 ))))))))))))))))))))))))))))))))))))))))) . - 2008-04-16 19:54:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-16 20:44:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C4F147D7-BF25-488E-A12B-EFD43E7029BF}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LDM"="\Program\BackWeb-8876480.exe" [ ] "LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2004-10-08 12:06 196608] "Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400] "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 10:20 401491] "MtdAcq"="C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.exe" [2004-07-02 11:26 122956] "CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-13 11:00 700416] "freeBrowser"="C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe" [2006-10-20 04:01 684032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="C:\Windows\RUNXMLPL.exe" [2004-04-20 16:49 40960] "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576] "LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2004-08-06 14:04 32768] "PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208] "LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2004-07-15 17:24 49152] "CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2004-01-28 17:48 184320] "LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2004-09-08 11:28 245760] "Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2004-08-13 22:40 73728] "VTTrayp"="VTtrayp.exe" [2004-06-22 02:57 143360 C:\WINDOWS\system32\VTTrayp.exe] "VTTimer"="VTTimer.exe" [2004-09-01 16:28 53248 C:\WINDOWS\system32\VTTimer.exe] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-07-13 14:48 4141056] "nwiz"="nwiz.exe" [2004-07-13 14:48 880640 C:\WINDOWS\system32 wiz.exe] "AGRSMMSG"="AGRSMMSG.exe" [2004-12-03 12:21 88358 C:\WINDOWS\AGRSMMSG.exe] "PCMService"="C:\Program Files\Arcade\PCMService.exe" [2004-08-27 16:50 81920] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-10-08 12:31 458752] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-10-08 12:24 217088] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2006-05-02 19:56 180269] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 22:48 249896] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [ ] "IS CfgWiz"="C:\Program Files\Fichiers communs\Symantec Shared\cfgwiz.exe" [ ] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [ ] "PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [ ] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 05:00 15360] "Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [2004-10-29 08:52 218232] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Macromedia\Dreamweaver 2\Dreamweaver.exe"= "C:\Program Files\Microsoft Games\Age of Empires II\Age2_X1\AGE2_X1.ICD"= "C:\Program Files\Messenger\MSMSGS.EXE"= "C:\WINDOWS\System32\dplaysvr.exe"= "C:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD"= "C:\Program Files\Microsoft Games\Rise of Nations\rise.Exe"= "C:\Program Files\Microsoft Games\Rise of Nations\nations.exe"= "C:\Program Files\Macromedia\Flash MX\Flash.exe"= "C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe"= "C:\Program Files\Mozilla Firefox\firefox.exe"= "C:\Program Files\JVTorrent\btdownloadgui.exe"= "C:\Program Files\NewTech Infosystems\NTI CD-Maker\LiveUpdate.exe"= "C:\WINDOWS\System32\rtcshare.exe"= "C:\Program Files\NetMeeting\conf.exe"= "C:\Program Files\Freeplayer\vlc.exe"= "C:\Program Files\GameSpy Arcade\Aphex.exe"= "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= "C:\3dsmax7\3dsmax.exe"= "C:\Program Files\backburner 2\monitor.exe"= "C:\Program Files\backburner 2\manager.exe"= "C:\Program Files\backburner 2\server.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\WINDOWS\System32\dpvsetup.exe"= "C:\WINDOWS\System32\RUNDLL32.EXE"= "C:\StubInstaller.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\freeBrowser\vlc\vlc.exe"= "C:\Program Files\freeBrowser\freeBrowser\freeBrowser.exe"= "C:\Program Files\Freeplayer\vlc\vlc.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\iTunes\iTunes.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "3587:TCP"= 3587:TCP:Groupement homologue Windows "3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol) "5353:UDP"= 5353:UDP:Bonjour [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27] R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-10-18 16:36] R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-09-20 17:37] R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2004-06-01 11:50] R3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-11-04 18:29] R3 POWERKEY;POWERKEY;C:\Program Files\Launch Manager\POWERKEY.sys [2000-12-19 18:29] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [] S3 49e85f89-9c65-486d-ab44-21e5afc12bba;49e85f89-9c65-486d-ab44-21e5afc12bba;E:\Player\cds300.dll [] S3 p2pgasvc;Authentification de groupe réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-05 05:00] S3 p2pimsvc;Gestionnaire d'identité réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-05 05:00] S3 p2psvc;Réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-05 05:00] S3 PNRPSvc;Protocole de résolution de noms d'homologues;C:\WINDOWS\system32\svchost.exe [2004-08-05 05:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc *Newly Created Service* - SROSA . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2006-09-13 12:09:28 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE "2008-03-30 12:12:56 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1206879083.job" - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I "2008-04-16 16:32:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-16 22:48:48 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"="C:\WINDOWS\system32\drivers\hldrrr.exe" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srosa] "ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys" . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe -> ?:\Program Files\Creative\Zen Micro Media Explorer\JBNSRES.DLL -> ?:\Program Files\Creative\Zen Micro Media Explorer\JBNSRES.DLL -> ?:\Program Files\Creative\Zen Micro Media Explorer\JBNSRES.DLL . ------------------------ Other Running Processes ------------------------ . C:\ACER\EMANAGER\ANBMSERV.EXE C:\PROGRAM FILES\FICHIERS COMMUNS\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE C:\PROGRAM FILES\FICHIERS COMMUNS\AUTODESK SHARED\SERVICE\ADSKSCSRV.EXE C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE C:\WINDOWS\SYSTEM32\NVSVC32.EXE C:\WINDOWS\SYSTEM32\TCPSVCS.EXE C:\WINDOWS\SYSTEM32\WDFMGR.EXE C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\WINDOWS\system32\CTPdeSrv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe . ************************************************************************** . Temps d'accomplissement: 2008-04-16 22:52:31 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-16 20:52:24 ComboFix2.txt 2008-04-16 20:01:58 Pre-Run: 7,282,851,840 octets libres Post-Run: 7,258,046,464 octets libres . 2008-04-11 08:08:56 --- E O F ---

jlpjlp · Answer

fais fx bagle

puis:


* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).


et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!!

------------
essaye de reparer ta connection internet avec lspfix: si elle ne marche toujours pas
http://forum.pcinfo-web.com/showthread.php?tid=48

----------
colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html

mattspider · Answer

Ensuite, j'ai fais elibagle (toujours en mode sans échec) et là ça n'a pas marché par contre j'ai remarqué que dans les rapports des différents Elibagle que j'ai lancé, y avait le fameux message  "Por favor, envienos una muestra del fichero......"
J'ai vérifié et il y a effectivement un dossier muestras qui s'est crée avec à l'intèrieur le fameux fichier ......je l'envoi ???


	  Wed Apr 16 18:27:51 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 18:30:00 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Wed Apr 16 18:53:11 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 18:55:02 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 18:55:10 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Wed Apr 16 19:36:16 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 20:07:10 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Wed Apr 16 20:07:39 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Thu Apr 17 10:24:08 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Thu Apr 17 10:24:12 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Thu Apr 17 10:28:50 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Thu Apr 17 10:28:52 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Thu Apr 17 10:30:28 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Thu Apr 17 10:30:32 2008
EliBagle v11.26  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mattspider · Answer

j'ai effectué un nouveaux fx bagle cette fois en mode sans échec, mais il n'a rien trouvé. ( merci de voir le rapport posté 2 messages plus haut ;) )

mattspider · Answer

j'ai envoyé le mail à stainfo, on verra bien

jlpjlp · Answer

ok
essaye de telecharger la derniere version elibaga et recommence

si tu peux aller sur le net:


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html

mattspider · Answer

non je peux pas aller sur internet vu que le virus me l'empêche, on est d'accord que le virus n'a pas attaqué pour l'instant avec tous ces programmes que j'ai lancé ? c'est juste de scans non ???
là j'ai réessayer de lancer mon antivirus, et il me fait encore "application win32 non valide"

jlpjlp · Answer

bagle empeche l'utilisation des logiciel antivirus... c'est qu'il est encore present...




1) Redémarre en mode sans échec ! aide ici : http://forum.telecharger.01net.com/forum/ 

2) Ouvre l'invite de commande : démarrage > programme > accessoire > invite de commande ou dans outils système > invite de commande 
Tape les commandes suivantes successivement : 

N.B : si tu as des messages d'erreur lors de la suppression de certains fichiers, ne pas s'inquiéter, cela signifie qu'ils ne sont pas présents sur ta machine. Attention de ne pas faire de faute de frappe ! 


del c:\windows\system32\drivers\srosa.sys       > entrer : le fichier va s'effacer 

puis 

del c:\windows\system32\drivers\hldrrr.exe      > entrer : le fichier va s'effacer 



3) Désinstalle ton antivirus et réinstalle le ;) 

4) Redémarre en mode normal et dis-moi si ton antivirus remarche ;) 
et colle un rapport avec

mattspider · Answer

ok ça roule, mais c'est sur que c'est bagle et pas un autre ?? 
en tous les cas je fais ce que tu m'a dit je te tiens au jus ;) 

merci de toute tes réponses en tous cas ;)

jlpjlp · Answer

oui c'est sûr que c'est du bagle apres on verra si autre chose...


(elibaga ne s'occupant que de bagle, si il en trouve c'est que ...)


____________

si ton antivirus remacrhe repare ta connection net avec:

zeb restore 
http://telechargement.zebulon.fr/zeb-restore.html

ou
lspfix

http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39138667s,00.htm

ou


-Télécharge cet outil d'ici:
WinSockFix
http://www.softpedia.com/progDownload/WinS...load-15337.html
(prends le deuxieme miroir)
-Une fois téléchargé,tu le lances

-Tu cliques sur"ReG-Backup" pour créer une sauvegarde du registre,dans un dossier de ton choix.

-Une fois la sauvegarde éffectuée,clique sur "Fix", au méssage "WinsockFix will now attempt to Repair your connection" tu reponds par "OUI"

-Il va travailler,tu le laisse faire,à la fin des corrections tu auras le méssage suivant"Repair completed Please Reboot", tu cliques sur "OK"

-Le PC va redémarrer,

-Communique les résultats.

mattspider · Answer

J'ai fais les deux commandes que tu m'a dit de faire, yen a aucune des deux qui marche, je suis allé dans le dossier c:\windows\system32\drivers\ et je n'est trouvé ni hldrrr ni srosa

j'essaie de désinstaller mon antivirus ;)

ps: c'est combofix c'est ça qui a déjà supprimé ces fichiers  ??? ( voir rapport un peu plus haut )

mattspider · Answer

juste comme antivirus, je réinstalle antivir où yen a un autre qui est préférable ???
Parce que je comprend toujours pas pourquoi quand j'ai scanné le virus avec antivir, ce dernier n'a rien décelé

mattspider · Answer

ayé j'ai installé antivir et il a démarrer !!!! miracle ??? bon en tous les cas je fais un scan avec antivir et j'essai de réparer ma connexion  maintenant ????

dou-l · Answer

slt,

ok fait un scan et poste le rapport

dou-l · Answer

ok  je reste alors ^^

mattspider · Answer

bon là mon antivirus à trouver un nid de virus (trojan bagle ) j'ai pas mis en quarantaine, j'ai fait supprimé à chaque fois !

dou-l · Answer

ok poste le rapport a la fin

mattspider · Answer

voila le scan est fini, voici le rapport : Avira AntiVir Personal Report file date: jeudi 17 avril 2008 14:25 Scanning for 1165085 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Boot mode: Save mode Username: pierre Computer name: MOBILE Version information: BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:58 AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:38 LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:24 LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:42 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58 ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 19:12:34 ANTIVIR3.VDF : 7.0.3.68 57856 Bytes 25/03/2008 08:27:50 Engineversion : 8.1.0.28 AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:22 AESCRIPT.DLL : 8.1.0.19 229754 Bytes 07/04/2008 15:34:46 AESCN.DLL : 8.1.0.12 115060 Bytes 07/04/2008 15:34:46 AERDL.DLL : 8.1.0.19 418164 Bytes 07/04/2008 15:34:46 AEPACK.DLL : 8.1.1.0 364918 Bytes 18/03/2008 11:20:44 AEOFFICE.DLL : 8.1.0.15 192889 Bytes 07/04/2008 15:34:46 AEHEUR.DLL : 8.1.0.15 1147253 Bytes 07/04/2008 15:34:46 AEHELP.DLL : 8.1.0.11 115061 Bytes 07/04/2008 15:34:44 AEGEN.DLL : 8.1.0.15 299379 Bytes 07/04/2008 15:34:44 AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 15:34:44 AECORE.DLL : 8.1.0.25 168309 Bytes 08/04/2008 09:58:34 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:54 AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:52 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:48 AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:50 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:24 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:32 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:04 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:40 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:12 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:26 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:12 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: jeudi 17 avril 2008 14:25 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'Explorer.EXE' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 11 processes with 11 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '51' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP764\A0110553.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP765\A0110569.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP765\A0110578.exe [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP765\A0110579.exe [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP765\A0110589.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP766\A0110593.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP766\A0110606.exe [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP766\A0110607.exe [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP766\A0110617.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP767\A0110621.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP767\A0110635.exe [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP767\A0110636.exe [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP770\A0110821.exe [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP770\A0110822.exe [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP770\A0113424.sys [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP770\A0113425.exe [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP770\A0113426.exe [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! C:\QooBox\Quarantine\catchme2008-04-16_215128.15.zip [0] Archive type: ZIP --> hldrrr.exe [DETECTION] Is the Trojan horse TR/Trash.Gen --> mdelk.exe [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! C:\QooBox\Quarantine\catchme2008-04-16_224210,45.zip [0] Archive type: ZIP --> hldrrr.exe [DETECTION] Is the Trojan horse TR/Trash.Gen --> mdelk.exe [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir [DETECTION] Is the Trojan horse TR/Rootkit.Gen [NOTE] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\hldrrr.exe.vir [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\mdelk.exe.vir [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\6023687.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [NOTE] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\6028890.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [NOTE] The file was deleted! C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.26 [DETECTION] Is the Trojan horse TR/Trash.Gen [NOTE] The file was deleted! Begin scan in 'D:\' End of the scan: jeudi 17 avril 2008 16:01 Used time: 1:35:35 min The scan has been done completely. 15901 Scanning directories 398759 Files were scanned 27 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 25 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 398732 Files not concerned 8117 Archives were scanned 1 Warnings 25 Notes

dou-l · Answer

Ok tout a était supprimer !


Télécharge sur le bureau hijackthis


Fait un clic droit sur l'icone hijackthis.


/!\Renome hijackthis en skim.exe ( a le place de hijacktihs.exe) c'est important!!/!\

*Après avoir fais ca double-clic dessus.

*Clic sur Do a system scan and save the log

*A la fin de l'analyse un rapport va etre générer colle le ici.

Une démo d'hijackthis

dou-l · Answer

Refait hijackthis en mode normal stp

dou-l · Answer

b oui en mode normal

dou-l · Answer

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".



O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - (no file)
O3 - Toolbar: (no name) - {92E1B3F7-0546-421E-9835-904D25B7BA66} - (no file)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) 
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 


Tu as des trace de norton tu l'as desinstaller ?

jlpjlp · Answer

juste en passant

vire ce qui est dans le dossier quarantine en allant dans poste de travail puis C
C:\QooBox\Quarantine

________

penser a desactiver la restauration systeme pour virer bagle qui est dedans

bonne suite! a tous les deux

dou-l · Answer

oui fait comme l'indique jlp


vire ce qui est dans le dossier quarantine en allant dans poste de travail puis C
C:\QooBox\Quarantine

________

penser a desactiver la restauration systeme pour virer bagle qui est dedans

dou-l · Answer

¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.

A+  et dit tes soucis

mattspider · Answer

ok j'ai fais ce que tu m'a dit 

donc la c'est bon je me suis débarasser de cette plaie ??
maintenant pour remettre ma connexion  je fais comment ?? j'essaie les différentes méthodes que ma donner jlp ou bien ya un autre moyen plus simple ? ( style une case à cocher =D )

merci en tous les cas j'ai l'impression de voir le bout du tunnel, ça fait plaisir ;)

mattspider · Answer

aussi une autre question ya toujours les deux épées qui se croisent (icône qui était celle du crack ) à la place du logo freebrowser, ça signifie quelque chose ???

dou-l · Answer

vire les

dou-l · Answer

les icones et tout ce qui raporte

dou-l · Answer

b si c t un crack oui

mattspider · Answer

ok c'est bon j'ai viré freebrowser, cétait trop louche, et je redémarre....
maintenant par où dois-je commencer pour resoudre le problème de la connexion ??

dou-l · Answer

la connesxion ? explique j'était parti hier

mattspider · Answer

ok, alors : 
les deux symptômes du virus c'était ==> pas de connexion internet et Antivir qui démarrai pas.

Pour la connexion Internet en fait quand je clic sur l'icone de la connexion sans fil, il l'ouvre donc la fenêtre "choisir en réseaux sans fil" et là dans la fen^tre ou ya les réseaux d'habitude, ya marqué :

"Windows ne peut pas configurer cette connexion sans fil

Si vous avez autorisé un autre  programme à gérer cette connexion sans fil, utilisez ce programme"

dou-l · Answer

Ok

alors : 
essaye de reparer ta connection internet avec lspfix: si elle ne marche toujours pas
http://forum.pcinfo-web.com/showthread.php?tid=48

dou-l · Answer

ouui mais telecharge lspfix pour ta connexion

mattspider · Answer

quand je lance lspfix, ya cette fenêtre http://www.internetinspiration.co.uk/images/lspfix.gif
et moi dans la fenêtre keep, j'ai :
 - mswsock.dll               TCP/IP
                                             - winrnr.dll                   NTDS
                                             - pnrpnsp.dll                 Fournisseur d'espaces de noms du nuage PNRP
                                             - rsvpsp.dll                    (Protocol handler) 


je doit les supprimer en les mettant dans la colonne remove ou bien ... ?


autrement, la méthode décrite ici peut-elle fonctionner ? http://www.commentcamarche.net/faq/sujet 1486 xp windows ne peut pas configurer cette connexion sans fil

parce que c'est exactement le message décrit qui s'affiche chez moi.....

dou-l · Answer

Fait comme indiquer dans ton lien

dou-l · Answer

ta fé le petit 1?

mattspider · Answer

donc j'ai fait quelques recherche et j'ai suivie cette procédure

______________________________________________________________________________________

 erreur 1068 - Suite à infection virale de votre ordinateur avec un virus du type "bagle" ou "beagle" ... 

Vous n'arrivez plus a vous connecter avec votre wifi. Si vous allez dans les outils administration sur la page "services" pour activer "configuration automatique sans fil" vous avez l'erreur 1068. 

Si c'est votre cas et que vous vous etes arraché les cheveux, voici la solution: 

Vous devez aller dans la base de registre avec regedit ou autre. 

1. Demarrer > executer > Tapez : "regedit" en ok 

2. Allez sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio 

Dans cette clé il y a une entrée nommée "START", double cliquez dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement. 

Un virus comme "bagle / Beagle" change cette entrée et la met sur 4 (disable) et cause le probleme que vous avez. 

Reboutez ensuite votre PC et tout devrait rentrer dans l'ordre. 

__________________________________________________________________________________


j'espère que ça va marché

dou-l · Answer

ok fait ca moi aussi je cherche de mon coté !!

dou-l · Answer

En fait je suis en train d'apprendre la sécuriter informatique ^^

Pour supprimer les fix :


* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

    * Clique sur Recherche et laisse le scan se terminer.


    * Clique, sur Suppression pour finaliser.


    * Tu peux, si tu le souhaites, te servir des Options facultatives.


    * Clique sur Quitter, pour que le rapport puisse se créer.


    * Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

dou-l · Answer

je revien demain soir a+

jlpjlp · Answer

tu supprime tout ce qu l'on t'a fais mettre ( utilise ToolsCleaner pour avancer comme te di dou-I) 



et tu garde ceci: pour te proteger




pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/-    si tea timer non active de spybot:  et ordi assez puissant
 WINDOWS    DEFENDER ou  SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) 

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

 https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus  touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

mattspider · Answer

ok merci pour vos conseils, et encore merci d'avoir résolu mon problème

je doit les utiliser à quelle fréquence tous ces petits logiciel ?? une fois par semaine ???

jlpjlp · Answer

il faut scanner au minimum une fois par mois avec les antiespions et l'antivirus . Bonne continuation

Virus: plus d'internet, Antivir inutilisable

71 réponses

Discussions similaires

Newsletters