Probleme mechant virus, help! Résolu/Fermé

Question

Bonjour,
Je suis infecté! 
Quelqun pourrait il m'aider, merci

J'ai téléchargé ELIBAGLA, 
quand je le lance, il ouvre une toute petite
fenêtre 2 secondes ou il est ecrit: 
"Detectado Gusano BAGLE !!
reinici para completar la Limpieza"

J'ai aussi hijackthis et la ca me dit:
"Application.. Win32.. pas valide"

Pour info, je n'arrive pas non plus à démarrer en mode sans échec!

Que dois je faire?

Destrio5 · Answer

Salut,

--> Télécharge FindyKill (par Chiquitine29) sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l'installation avec les paramètres par defaut

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

rospotov · Answer

donc tu ne peux pas démarrer ton ordinateur, est-ce exact?

anonime · Answer

Salut Destrio5,

voici le rapport:

»»»» Presence des fichiers dans C: 
 
Présent ! - C:\InfoSat.txt 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
Present ! - C:\WINDOWS\prefetch\113468.EXE-1ABBD536.pf 
Present ! - C:\WINDOWS\prefetch\115937.EXE-24B86F93.pf 
Present ! - C:\WINDOWS\prefetch\133671.EXE-2D060889.pf 
Present ! - C:\WINDOWS\prefetch\330984.EXE-2B120726.pf 
Present ! - C:\WINDOWS\prefetch\339406.EXE-049DAB74.pf 
Present ! - C:\WINDOWS\prefetch\346421.EXE-04040D59.pf 
Present ! - C:\WINDOWS\prefetch\364031.EXE-19C6E635.pf 
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-0731D51C.pf 
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf 
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
Présent ! - C:\WINDOWS\system32\mdelk.exe 
Présent ! - C:\WINDOWS\system32\wintems.exe 
Présent ! - C:\WINDOWS\system32\ban_list.txt 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys 
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe 
Présent ! - "C:\WINDOWS\system32\drivers\downld" 
Present ! - C:\WINDOWS\system32\drivers\downld\339140.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\422890.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\335781.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\346421.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\108062.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\141953.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\336093.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\420343.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\519703.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\330984.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\335484.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\339406.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\519156.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\108687.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\115937.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\137687.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\113468.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\140328.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\248218.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\547468.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\426859.exe 
 
»»»» Presence des fichiers dans C:\Documents and Settings
athy\Application Data 
 
Présent ! - "C:\Documents and Settings
athy\Application Data\m\flec006.exe" 
Présent ! - "C:\Documents and Settings
athy\Application Data\m\list.oct" 
Présent ! - "C:\Documents and Settings
athy\Application Data\m" 
 
»»»» Presence des fichiers dans C:\DOCUME~1
athy\LOCALS~1\Temp 
 
 
»»»» Registre :  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    RamBooster	REG_SZ	C:\Program Files\RamBooster\Rambooster.exe
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
 
Présent ! - HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\Local AppWizard-Generated Applications\hldrrr 
Présent ! - HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\bisoft 
Présent ! - HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\DateTime4 
Présent ! - HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\FirtR 
Présent ! - HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\MuleAppData 
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_CURRENT_USER\Software\bisoft 
Présent ! - HKEY_CURRENT_USER\Software\DateTime4 
Présent ! - HKEY_CURRENT_USER\Software\FirtR 
 
 
»»»» Presence d infections dans Support amovible : 
 
 
 
 
----------------- ! Fin du rapport ! ------------------

anonime · Answer

Re salut,

J'ai 2eme PC infecté et Comme je ne sais pas si la procedure est la même sur tout les pcs
je mets aussi le rapport du 2eme PC:

((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
»»»» Presence des fichiers dans C: 
 
Présent ! - C:\InfoSat.txt 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
Présent ! - "C:\WINDOWS\system32\drivers\downld" 
Present ! - C:\WINDOWS\system32\drivers\downld\114250.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46093140.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46249140.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46332000.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\67000.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\85000.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\124671.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\124781.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\170421.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46094531.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\80421.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\225062.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\79312.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\128453.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\214453.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46132703.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\99453.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\219234.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46143484.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\166265.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\209265.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\79265.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\86375.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\115906.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\119796.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46326656.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46243437.exe 
Present ! - C:\WINDOWS\system32\drivers\downld\46137609.exe 
 
»»»» Presence des fichiers dans C:\Documents and Settings\paul\Application Data 
 
Présent ! - "C:\Documents and Settings\paul\Application Data\m" 
 
»»»» Presence des fichiers dans C:\DOCUME~1\paul\LOCALS~1\Temp 
 
 
»»»» Registre :  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    BootSkin Startup Jobs	REG_SZ	"C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
 
Présent ! - HKEY_USERS\S-1-5-21-790525478-796845957-1801674531-1005\Software\Local AppWizard-Generated Applications\hldrrr 
Présent ! - HKEY_USERS\S-1-5-21-790525478-796845957-1801674531-1005\Software\bisoft 
Présent ! - HKEY_USERS\S-1-5-21-790525478-796845957-1801674531-1005\Software\FirtR 
Présent ! - HKEY_USERS\S-1-5-21-790525478-796845957-1801674531-1005\Software\MuleAppData 
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_CURRENT_USER\Software\bisoft 
Présent ! - HKEY_CURRENT_USER\Software\FirtR 
 
 
»»»» Presence d infections dans Support amovible : 
 
 
 
 
----------------- ! Fin du rapport ! ------------------

anonime · Answer

ah euh excuse rospotov, non mon pc s'allume correctement...

Destrio5 · Answer

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

anonime · Answer

hey,

voici le rapport:

((((((((((((((( *** Suppression *** ))))))))))))))))))  
 
 
 
»»»» Suppression des fichiers dans C: 
 
Supprimé ! - C:\InfoSat.txt  
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 
 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1857459C.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1BC55A4F.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2A94BB85.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2E5AF1D7.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-483E13BB.pf 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\114250.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\115906.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\119796.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\124671.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\124781.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\128453.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\166265.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\170421.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\209265.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\214453.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\219234.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\225062.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46093140.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46094531.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46132703.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46137609.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46143484.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46243437.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46249140.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46326656.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\46332000.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\67000.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\79265.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\79312.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\80421.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\85000.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\86375.exe 
Supprimé ! - C:\WINDOWS\system32\drivers\downld\99453.exe 
Supprimé ! - "C:\WINDOWS\system32\drivers\downld"  
 
»»»» Suppression des fichiers dans C:\Documents and Settings\paul\Application Data 
 
Supprimé ! - "C:\Documents and Settings\paul\Application Data\m"  
 
»»»» Suppression des fichiers dans C:\DOCUME~1\paul\LOCALS~1\Temp 
 
 
»»»» Suppression des clefs du registre.. 
 
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA   
Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA   
Supprimé ! - HKEY_USERS\S-1-5-21-790525478-796845957-1801674531-1005\Software\Local AppWizard-Generated Applications\hldrrr   
 
»»»» Suppression des clefs du registre effectuée ! 
 
 
»»»» Mode sans echec restauré ! 
  
»»»» Affichage des fichiers cachés réparé !

 
»»»» Services de securité Windows redemarré ! 
 
 
»»»» Suppression des fichiers dans Support amovible : 
 

»»»» Necessite une interpretation : 

 
»»»» Recherche Cracks Keygen... : 
 
 
 
---------------- ! Fin du rapport ! ------------------

Destrio5 · Answer

C'est quel PC ?

anonime · Answer

le 2eme avec les disques externes

anonime · Answer

pourquoi c'est pas les même manipulation pour les 2?

anonime · Answer

désolé pour le retard, j'été au resto
maintenant je reste la
merci

Destrio5 · Answer

"pourquoi c'est pas les même manipulation pour les 2?"
---> Fallait déjà faire ton premier PC puis le deuxième. On désinfecte les PC un par un.

anonime · Answer

Alors je viens de lancer findykill et j'ai eu un ecran bleu moins d'une seconde et ca a redemarrer et puis rien
c'est revenu au menu des utilisateurs.. j'ai 2 compte, dois je en supprimer un?

Destrio5 · Answer

Sur ton premier PC ?

Destrio5 · Answer

Ok alors réessaie l'option 2 de FindyKill.

Destrio5 · Answer

Essaie sur l'autre utilisateur.

Destrio5 · Answer

Réinstalle FindyKill.

Destrio5 · Answer

Ok,

- Télécharge HijackThis V 2.02 (HijackThis Installer) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

anonime · Answer

donc voici le rapport du 2eme PC:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:27, on 08/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Destrio5 · Answer

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

Destrio5 · Answer

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)     

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)     

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Installe un antivirus

---> Redémarre le PC et poste un dernier rapport HijackThis

Destrio5 · Answer

Antivir.

Destrio5 · Answer

Non pas évaluation.

Destrio5 · Answer

Si tu n'as plus de problème :

---> Supprime FindyKill

---> Désinstalle HijackThis

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

Destrio5 · Answer

https://www.processlibrary.com/fr/search?q=wlloginproxy

anonime · Answer

Voila toutes les tâches sont éffectuées, mon PC a l'air tout propre.

Merci beaucoup de donner de ton temps, c'est super


Est ce que l'on continu avec le 1er pc?

Destrio5 · Answer

Oui.

Destrio5 · Answer

Tu as le rapport de FindyKill ?

Destrio5 · Answer

Quitte.

Destrio5 · Answer

Réessaie l'option 2 de FindyKill.

Destrio5 · Answer

Tu devrais le réinstaller.

Destrio5 · Answer

On verra après.

Destrio5 · Answer

---> Fais un scan rapide avec MBAM à ce moment-là.

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout

- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le bureau : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

- Double-clique sur Navilog1.exe afin de lancer l'installation

- Si le fix ne lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le bureau

- Appuie sur F ou f  puis valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini, le bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse

- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

Destrio5 · Answer

---> Relance Navilog1, fais l'option 2 et poste le rapport.

anonime · Answer

voila:

Clean Navipromo version 3.6.6 commencé le 09/10/2008 à  1:57:50,43

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "nathy" 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings
athy\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Suppression dans "C:\DOCUME~1\celine\locals~1\applic~1" * 


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings
athy\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\celine\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings
athy\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\celine\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings
athy\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\celine\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings
athy\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings
athy\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\celine\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

Fichiers suspects dans "C:\Documents and Settings
athy\locals~1\applic~1" : 

bubfje.exe trouvé !

*** Nettoyage terminé le 09/10/2008 à  2:00:39,96 ***

Destrio5 · Answer

---> Relance Navilog1, choisis l'option 4, tape bubfje, valide avec Entrée et poste le rapport.

Destrio5 · Answer

---> Désinstalle Navilog1

---> Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Destrio5 · Answer

---> Poste un nouveau rapport HijackThis.

Destrio5 · Answer

---> Mets à jour Java :
https://www.java.com/fr/download/manual.jsp

---> Installe Antivir

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)     

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')     

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')     

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')     

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')     

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) 

O15 - Trusted Zone: http://*.xperttesting.com 

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre ton PC et poste un nouveau rapport HijackThis.

Destrio5 · Answer

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

---> Tiens à jour Windows

Destrio5 · Answer

Tu peux supprimer Tools Cleaner.

Pour les deux PC, il serait bien de faire un scan complet avec MBAM et de faire un scan en ligne avec Kaspersky pour détecter les éventuelles traces de Bagle.

Destrio5 · Answer

Des problèmes ?

Destrio5 · Answer

---> Mets à jour Acrobat Reader

Destrio5 · Answer

Bonne nuit ;)

Probleme mechant virus, help!

45 réponses

Discussions similaires