Bonjour, J'ai 3 ordis en réseau à la maison et ils sont (je crois) tous infectés par bagle (identifié par spybot sur une des machine). Les symptomes sont les suivants: - lenteur du système - écran bleu - fenêtre d'invite: select file to crack - avast disparu et impossibilité de le relancer (ou tout autre antivirus) - "n'est pas une application Win32 valide" - impossiblilité de démarrer en mode sans échec J'ai essayé pas mal de manips - sans succès - même si les symptomes évoluent: ex: je n'ai plus l'invite "select file to crack. J'ai essayé elibagla qui a détecté qqqchose au début mais sans succès pour l'éliminer. Maintenant, le scan d'elibagla ne donne rien. J'ai réussi (après plusieurs bugs en fin d'analyse) à faire tourner combofix sur une des machines: je poste le rapport ci-dessous: Je m'en remets à vous car j'avoue que ce problème dépasse largement mes compétences. ComboFix 08-08-08.07 - Anthony 2008-08-09 9:53:42.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.216 [GMT 2:00] Endroit: C:\Documents and Settings\Anthony\Bureau\xComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\InfoSat.txt . ---- Previous Run ------- . C:\InfoSat.txt . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-09 to 2008-08-09 )))))))))))))))))))))))))))))))))))) . 2008-08-09 03:15 . 2008-08-09 03:15 <REP> d-------- C:\WINDOWS\LastGood 2008-08-09 03:15 . 2008-08-09 09:30 <REP> d-------- C:\WINDOWS\BDOSCAN8 2008-08-09 02:44 . 2008-08-09 02:44 <REP> d-------- C:\ComboFax 2008-08-09 01:31 . 2008-08-09 01:37 <REP> d-------- C:\gt 2008-08-09 01:16 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-09 01:16 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-06 15:30 . 2008-08-06 15:30 <REP> d-------- C:\Program Files\SCC 2008-08-04 11:08 . 2008-08-04 11:08 <REP> d-------- C:\Program Files\Microsoft Keyboard Layout Creator 1.4 2008-08-01 22:12 . 2008-08-01 22:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-01 22:12 . 2008-08-01 22:12 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-31 21:57 . 2008-08-08 15:51 <REP> d-------- C:\Program Files\nLite . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-09 07:50 --------- d-----w C:\Documents and Settings\Anthony\Application Data\SolidDocuments 2008-08-09 00:45 --------- d-----w C:\Program Files\PowerArchiver 2008-08-08 23:12 3,802 ----a-w C:\WINDOWS\system32\tmp.reg 2008-08-08 20:15 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-08 19:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-08 13:50 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-08 13:50 --------- d-----w C:\Program Files\Dialang 2008-08-08 10:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-07-28 12:15 --------- d-----w C:\Documents and Settings\Anthony\Application Data\dvdcss 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-17 09:01 --------- d-----w C:\Program Files\mp3DirectCut 2008-06-17 08:26 --------- d-----w C:\Program Files\PDF Password Remover v3.0 2008-06-17 07:51 --------- d-----w C:\Program Files\FaceMorpher Lite 2008-06-17 07:50 --------- d-----w C:\Program Files\Soliddocuments 2008-06-17 07:50 --------- d-----w C:\Program Files\Fichiers communs\SolidDocuments 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 18:33 --------- d-----w C:\Program Files\Windows Live 2008-06-13 18:32 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-13 18:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-06-11 08:09 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Application Data\SolidDocuments 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2003-04-24 14:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-09_ 0.45.25.62 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-09 01:15:25 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-08-09 01:15:26 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2008-08-09 01:15:27 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2008-08-09 01:15:40 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2006-05-24 23:21:00 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2006-05-24 23:21:14 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-08-09 01:15:53 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2008-08-09 01:15:32 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2006-05-24 23:22:06 53,248 ----a-w C:\WINDOWS\bdoscandel.exe + 2006-05-24 23:21:00 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2006-05-24 23:21:14 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-09-20 16:35 202024] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-08 22:14 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-20 21:10 335872] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-20 23:26 185896] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 12:41 196608] "ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 06:07 69632] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 00:14 155648] "PDF3 Registry Controller"="C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe" [2005-04-29 02:58 106496] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 09:43 274432] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 10:51 1836328] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360] C:\Documents and Settings\Anthony\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe [2006-05-14 22:47:48 344064] UberIcon.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe [2006-02-05 14:20:14 180224] Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe [2002-09-30 21:09:06 131072] Y'z Toolbar.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 14:41:10 90112] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "C:\\Program Files\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"= "C:\\Program Files\\GrabIt\\GrabIt.exe"= "C:\\Program Files\\Messenger\\msmsgs.exe"= "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "995:TCP"= 995:TCP:grabit "995:UDP"= 995:UDP:grabit R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46] R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2003-04-08 09:56] S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys [2005-11-30 10:51] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18] S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 21:16] S3 UPnPService;UPnPService;C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00] S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys [2005-11-30 10:51] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{07949633-F425-C392-0103-050807080600}] C:\WINDOWS\system32\scvhost.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-06-21 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42] . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 -: Open with Scansoft PDF Converter 3.0 - C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /100 O8 -: Save Flash by &GetFlash - C:\PROGRA~1\GetFlash\getflash.htm O8 -: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O17 -: HKLM\CCS\Interface\{C657A558-9788-4E75-943D-316CBFFC43DC}: NameServer = 212.27.54.252,212.27.53.252 O17 -: HKLM\CCS\Interface\{DE1304CF-EDCF-4C04-A690-BFDD3EC49A61}: NameServer = 212.27.32.176,212.27.32.177 O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab C:\WINDOWS\Downloaded Program Files\oscan8.inf C:\WINDOWS\bdoscandellang.ini C:\WINDOWS\bdoscandel.exe C:\WINDOWS\Downloaded Program Files\live.ini C:\WINDOWS\Downloaded Program Files\scanoptions.tsi C:\WINDOWS\Downloaded Program Files\lang.ini C:\WINDOWS\Downloaded Program Files\ipsupd.dll C:\WINDOWS\Downloaded Program Files\bdupd.dll C:\WINDOWS\Downloaded Program Files\libfn.dll C:\WINDOWS\Downloaded Program Files\bdcore.dll C:\WINDOWS\Downloaded Program Files\oscan8.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-09 09:55:56 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-09 9:57:19 ComboFix-quarantined-files.txt 2008-08-09 07:57:11 ComboFix2.txt 2008-08-08 22:50:19 Pre-Run: 8,468,697,088 octets libres Post-Run: 8,460,533,760 octets libres 188 --- E O F --- 2008-08-08 10:12:37 Merci beaucoup pour votre aide.

re, impeccable , 1-Supprimes ce qu'il y a dans la quarantaine de Malwarebytes ( via celle-ci bien sûr ) 2- Refais un coup de CCleaner ( registre compris ) 3- Mets à jours ce qui suit, c'est important ( des version pas à jours = failles de sécurité ) : * pour la console Java : aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour". ( puis désinstalles les versions antérieurs via "paneau de configuration" et "ajout/suppression de prg" ...) * Adobe Reader : télécharges et installes la dernière version ici (désinstalles avant l'ancienne version via son propre prg de désinstallation): http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader 4- On va re-téléchargé Hijackthis et finalyser avec ce PC : Télécharges et installes le logiciel HijackThis : ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe a )- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " . tuto pour utilisation Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) : http://pageperso.aol.fr/balltrap34/demohijack.htm b )-!!Déconnectes toi et fermes toute tes applications en cours !! Cliques sur le raccourci du bureau pour lancer le prg : fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" ---> Postes le rapport généré pour analyse et attends la suite ...

Virus bagle - à l'aide !!!!! - Forum Virus

Réponse 161 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Voici le rapport Kaspersky. il a visiblement trouvé qqchose. Le rapport a été généré en html, je le copie ici en espérant que la mise en forme soit lisible pour toi.

KASPERSKY ON-LINE SCANNER REPORT
Friday, August 22, 2008 2:37:00 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 21/08/2008
Enregistrements dans la base antivirus Kaspersky : 998174

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse
Total d'objets analysés 68411
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:01:24

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Historique\History.IE5\MSHist012008082120080822\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\temp\1BCF81.dmp L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Anthony\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Nero\Nero8\Nero BackItUp\BIU1.txt L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{CB73EB61-F033-49A0-BE1B-15FB8F17D6D9}\RP2\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\IEDFix.exe Infecté : Hoax.Win32.Renos.dzx ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Réponse 162 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

l' objet détecter est une composante de Smithfraud fix que l'on a utilisé ... Donc rien de grâve ...

1- Déconnectes toi et fermes toute tes applications en cours .

cliques double sur OTMoveIt.exe pour le lancer.
copies ce qui se trouve en citation ci-dessous,

C:\WINDOWS\system32\IEDFix.exe

et colles le dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

Note : il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes".

2- Supprimes tous les fichiers qu' il y a à l'intérieur de ce dossier :
C:\Windows\Prefetch , mais surtout pas le dossier en lui même et ni les éventuels sous-dossiers qui s'y trouvent !

3- refais un coup de CCleaner ( registre compris ).

4- Télécharges se petit soft , ZEB_RESTORE :

http://telechargement.zebulon.fr/zeb-restore.html

Enregistres ce fichier sur ton bureau.

-Clic droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
---> Coches les cases devant ( et uniquement celles-ci ! ) :

* Windows Update : rétablit la fonction Windows Update
* Policies : remet en place des éléments désactivés par "Policies"
* Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
* restauration du système : répare l'option "restauration du système" ...

-Cliques sur : " Restaurer "

--->Redémarres ton PC

5-retentes le check up que je tavais donner ici :

http://www.commentcamarche.net/forum/affich 7813678 virus bagle a l aide?page=7#140

Réponse 163 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Salut !

Voici le rapport de MoveIt. je fais la suite...tout de suite :-)

C:\WINDOWS\system32\IEDFix.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08222008_103733

Réponse 164 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Voilà, j'ai effectué le checkup comme tu me l'avais indiqué. Tout s'est déroulé normalement à priori.

Réponse 165 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

très bien ... fais ce-ci pour nettoyer les outils :

Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

Puis enfin supprimes Toolscleaner2 ...

-->testes un peu ton PC de long en large et dis moi si tu as encore des soucis ... =)

Réponse 166 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

OK d'ac,
je te tiens au courant...

Réponse 167 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Salut !

Après plusieurs jours de test, voici mes conclusions:

Point positif, j'ai pu désinstaller et réinstaller antivir. Je l'ai paramétré comme tu me l'avais dit. Tout à l'air de marcher nickel de ce côté là.

En revanche, j'ai toujours le truc des mises à jours windows qui reviennent tout le temps.
De plus, mon PC semble devenu assez instable: j'obtiens régulièrement des messages d'erreur du type:
"nom du programme" a rencontré une éreur sérieuse et doit fermer, bla bla bla...

J'en suis à me demander si je ne vais pas reformater. J'ai pu mettre tout mes docs importants à l'abri c'est l'essentiel.
Je sais, c'est la solution radicale mais bon... ca ne m'embête pas trop sur ce pc.

Dis moi ce que tu en penses stp.

Réponse 168 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

"nom du programme" a rencontré une éreur sérieuse et doit fermer, bla bla bla...

--> moi je commencerais par désinstaller et réinstaller tous ces prg pour voir ... Cela suffit la plus part du temps à résoudre le prb d'instabilité ... cela dis , il faut pouvoir le fair ...

la solution du formatage viendra après ....

PS :
Point positif, j'ai pu désinstaller et réinstaller antivir. Je l'ai paramétré comme tu me l'avais dit. Tout à l'air de marcher nickel de ce côté là.

--> as tu refais un scan en mode sans échec depuis ? Si oui , postes le rapport ....

Réponse 169 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Salut sKe69,

Désolé, je n'avais pas vu la fin de ton message. J'ai demandé à recevoir tes réponses par mail mais elles sont parfois tronquées.

J'ai essayé de désinstaller et de réinstaller les applications qui bugguent mais rien à faire. Antivir a fini par avoir des défaillances aussi. j'ai fait un scan avec bitdefender en ligne et il a supprimé rootkit.agent.

Mais je commence à baisser les bras. Il y a un tas de bugs partout, les maj de windows se font sans cesse...
Bref, je me dit qu'une réinstallation "clean" ne fera pas de mal.
Comme je te l'ai dit, je n'ai pas perdu de fichiers. C'est l'essentiel.

Réponse 170 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bon ,

peut-tu faire tout de même ce-ci pour voir :

Télécharges FindB de Chiquitine29 sur ton bureau :

---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar

1) Extrait le contenu de l'archive sur ton bureau

2) Double clic sur FindB

3) Post le rapport FindB.txt dans ton prochain message

note le rapport FindB.txt est sauvegardé a la racine du disque

Réponse 171 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Voici le rapport FindB

+- FindB mis a jours le 21/08/08 par Chiquitine29

+- Recherche de fichier infectueux :

+- Recherche dans : C:\WINDOWS\Prefetch :

+- Recherche dans : C:\WINDOWS\system32 :

+- Recherche dans : C:\WINDOWS\system32\drivers :

+- Recherche dans : C:\Documents and Settings\Anthony\Application Data :

C:\Documents and Settings\Anthony\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Anthony\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Anthony\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Anthony\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Anthony\Application Data\m Présent!! )
C:\Documents and Settings\Anthony\Application Data\m\shared Présent!! )

+- Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ATIModeChange REG_SZ Ati2mdxx.exe
ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
ISUSPM Startup REG_SZ C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
ISUSScheduler REG_SZ "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
SSBkgdUpdate REG_SZ "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
PDF3 Registry Controller REG_SZ "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

+- Registre, recherche Srosa :

+- Recherche terminee !

+- Execute le : 2008-08-25 a 23:25:10.85

Réponse 172 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

tient teint !

peux-tu vérifier si ce dossier existe sur ton PC :

C:\Documents and Settings\Anthony\Application Data\m

Et si il contient ces fichiers :
*flec006.exe
*list.oct
*data.octt

merci ...

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

re,

avant de chercher , fais ce-ci :

Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).

Réponse 173 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

J'ai vérifié et ... non. Pas de trace de ce dossier, même en fichier caché...

Réponse 174 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

l'outil n'est pas encore au point ... ^^

j'ai fait un scan avec bitdefender en ligne et il a supprimé rootkit.agent.
--> plus précisemment ... tu as le rapport ? ...

Réponse 175 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Euh...non. Visiblement je ne l'ai pas sauvegardé ou je l'ai supprimé.

Réponse 176 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Domage ...

peux tu refair ce-ci pour voir :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...

Réponse 177 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

Rapport ComboFix:

ComboFix 08-08-24.03 - Anthony 2008-08-26 0:23:57.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.266 [GMT 2:00]
Endroit: C:\Documents and Settings\Anthony\Bureau\C-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dao350.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-25 to 2008-08-25 ))))))))))))))))))))))))))))))))))))
.

2022-01-16 08:26 . 2007-07-09 15:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-08-25 18:25 . 2008-08-25 18:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-25 18:25 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 18:25 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 14:21 . 2008-08-25 15:28 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-08-24 15:48 . 2008-08-24 15:48 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-24 15:32 . 2008-08-24 15:32 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-24 15:31 . 2008-08-25 20:58 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-08-24 14:37 . 2008-08-24 14:37 <REP> d-------- C:\Program Files\VS Revo Group
2008-08-23 23:57 . 2008-08-24 12:16 <REP> d-------- C:\Documents and Settings\Anthony\iWizz
2008-08-23 23:55 . 2008-08-24 18:22 <REP> d-------- C:\Program Files\iWizz
2008-08-23 23:55 . 2008-08-23 23:56 <REP> d-------- C:\Documents and Settings\Anthony\.bitrock
2008-08-23 14:39 . 2008-08-23 14:39 <REP> d-------- C:\Program Files\UseNeXT
2008-08-23 14:39 . 2008-08-25 09:41 <REP> d-------- C:\Documents and Settings\Anthony\Application Data\UseNeXT
2008-08-21 19:08 . 2008-08-21 19:08 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-19 20:15 . 2008-08-19 20:19 250 --a------ C:\WINDOWS\gmer.ini
2008-08-12 21:05 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-12 15:58 . 2008-08-15 14:37 <REP> d-------- C:\Netgear
2008-08-12 10:38 . 2008-08-12 10:38 <REP> d--hs---- C:\found.000
2008-08-12 10:30 . 2008-08-15 14:58 23 --a------ C:\WINDOWS\ZDPLUSSEARCH.INI
2008-08-11 23:28 . 2008-08-11 23:32 <REP> d-------- C:\a4b96074457c1f62d602836eaf
2008-08-11 15:40 . 2008-08-11 15:54 <REP> d-------- C:\Backups
2008-08-11 15:21 . 2008-08-22 13:39 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-11 00:20 . 2008-08-11 00:20 <REP> d-------- C:\Documents and Settings\Anthony\DoctorWeb
2008-08-10 22:47 . 2008-08-10 22:47 <REP> d-------- C:\Program Files\Windows Installer Clean Up
2008-08-10 22:47 . 2008-08-11 00:46 <REP> d-------- C:\Program Files\MSECACHE
2008-08-09 16:57 . 2008-08-09 16:57 <REP> d-------- C:\Documents and Settings\Anthony\Application Data\Malwarebytes
2008-08-09 16:57 . 2008-08-09 16:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-09 13:21 . 2008-08-09 13:21 <REP> d-------- C:\Program Files\CCleaner
2008-08-09 12:32 . 2008-08-22 13:39 <REP> d-------- C:\Program Files\Trend Micro
2008-08-09 03:15 . 2008-08-25 17:26 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-08-09 01:16 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-06 15:30 . 2008-08-06 15:30 <REP> d-------- C:\Program Files\SCC
2008-08-01 22:12 . 2008-08-24 16:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-01 22:12 . 2008-08-01 22:12 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-31 21:57 . 2008-08-08 15:51 <REP> d-------- C:\Program Files\nLite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 21:24 --------- d-----w C:\Program Files\PowerArchiver
2008-08-25 20:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-08-24 13:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-24 13:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-08-24 13:00 --------- d-----w C:\Program Files\Savvy TV
2008-08-24 12:48 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-24 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-12 08:31 --------- d-----w C:\Documents and Settings\Anthony\Application Data\SolidDocuments
2008-08-11 20:34 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-08-10 19:54 --------- d-----w C:\Program Files\Java
2008-08-09 17:45 --------- d-----w C:\Documents and Settings\Anthony\Application Data\Desktopicon
2008-08-08 23:12 3,802 ----a-w C:\WINDOWS\system32\tmp.reg
2008-08-08 13:50 --------- d-----w C:\Program Files\Dialang
2008-07-28 12:15 --------- d-----w C:\Documents and Settings\Anthony\Application Data\dvdcss
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-20 21:10 335872]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-20 23:26 185896]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 12:41 196608]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 06:07 69632]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 00:14 155648]
"PDF3 Registry Controller"="C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe" [2005-04-29 02:58 106496]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 09:43 274432]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\GrabIt\\GrabIt.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Documents and Settings\\Anthony\\Mes documents\\vdown\\vXdownloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"995:TCP"= 995:TCP:grabit
"995:UDP"= 995:UDP:grabit

R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2003-04-08 09:56]
S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys []
S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 21:16]
S3 UPnPService;UPnPService;C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00]
S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys []
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{07949633-F425-C392-0103-050807080600}]
C:\WINDOWS\system32\scvhost.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Anthony\Application Data\Mozilla\Firefox\Profiles\k647ghmp.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 00:25:23
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-26 0:26:49
ComboFix-quarantined-files.txt 2008-08-25 22:26:37

Pre-Run: 15,465,693,184 octets libres
Post-Run: 15,487,221,760 octets libres

154 --- E O F --- 2008-08-25 20:40:01

Réponse 178 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

bien ...

On va pousser un peu les recherches :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\system32\dllcache\rpcrt4.dll

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
C:\WINDOWS\imsins.BAK
C:\WINDOWS\ZDPLUSSEARCH.INI
C:\WINDOWS\system32\DRIVERS\dtvfw.sys
C:\Documents and Settings\Anthony\Mes documents\vdown\vXdownloader.exe

postes moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Réponse 179 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

OK

mais pour l'instant je vais me coucher ; je dois me lever tôt. Je risque d'être occupé jusqu'à très tard aussi, donc je ferai ces analyses mercredi à priori sauf si je trouve 5mn demain.

Sur ce, je te laisse. Merci encore pour tout le mal que tu te donnes.

A +

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Aucun prb ... ;-)

Réponse 180 / 189

sevitoto2 Messages postés 135 Date d'inscription Statut Membre 2

sALUT

Voici les rapports pour les 5 fichiers que tu m'as demandés:

fichier 1:

0 bytes size received / Se ha recibido un archivo vacio

Virus bagle - à l'aide !!!!! - Page 9

Discussions similaires

Newsletters