Attaque par virus baggle
lolopodo
-
sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention -
sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
j'ai un gros soucis, j'ai le fameux virus baggle.
Il m'empêche d'installer un antivirus, de scanner en ligne, d'utiliser combofix (app win32 non valide).
Je ne sais pas quoi faire.
genproc me dis ceci:
merci de m'aider/
Rapport GenProc 2.119 [2] effectué le 16/10/2008 à 7:25:28,10 - Windows XP
# Etape 1/ Télécharge :
- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.
- Combofix (sUBs) : par clic droit de souris sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe sélectionne "enregistrer sous" et nomme-le en combo-fix.exe. Double-clique ensuite sur combo-fix.exe, et appuie sur la touche Y (Yes) pour démarrer le scan et patiente.
Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.
# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.
# Etape 3/ Poste les trois rapports suivants :
- le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\
- le contenu du rapport qui se trouve dans C:\Combofix.txt
- un nouveau rapport GenProc.
j'ai un gros soucis, j'ai le fameux virus baggle.
Il m'empêche d'installer un antivirus, de scanner en ligne, d'utiliser combofix (app win32 non valide).
Je ne sais pas quoi faire.
genproc me dis ceci:
merci de m'aider/
Rapport GenProc 2.119 [2] effectué le 16/10/2008 à 7:25:28,10 - Windows XP
# Etape 1/ Télécharge :
- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.
- Combofix (sUBs) : par clic droit de souris sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe sélectionne "enregistrer sous" et nomme-le en combo-fix.exe. Double-clique ensuite sur combo-fix.exe, et appuie sur la touche Y (Yes) pour démarrer le scan et patiente.
Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.
# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.
# Etape 3/ Poste les trois rapports suivants :
- le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\
- le contenu du rapport qui se trouve dans C:\Combofix.txt
- un nouveau rapport GenProc.
A voir également:
- Driver unloaded without cancelling pending operations
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
103 réponses
Salut
ça pex arriver c est le fichier srosa.sys (infecté) qu i réagit
recommence l option 2 de findyKill STP
ça pex arriver c est le fichier srosa.sys (infecté) qu i réagit
recommence l option 2 de findyKill STP
Salut lolopodo,
Infection par un bagle :
1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)
2- Télécharges FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistres le sur ton bureau et pas ailleurs !
!! Déconnectes toi et fermes toute applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...
Une fois terminé, postes le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Infection par un bagle :
1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)
2- Télécharges FindyKill de Chiquitine29 :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
->Enregistres le sur ton bureau et pas ailleurs !
!! Déconnectes toi et fermes toute applications en cours !!
( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)
-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.
Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .
--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .
-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...
Une fois terminé, postes le rapport FindyKill.txt qui est généré ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Re,
je me demande s'il y a pas un rootkit
C'est exactement cela ! ^^
la suite :
1- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...
2- Relances FindyKill :
-> choisis cette fois-ci l'option 2 .
/!\ il y aura 2 redémarrages !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
je me demande s'il y a pas un rootkit
C'est exactement cela ! ^^
la suite :
1- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...
2- Relances FindyKill :
-> choisis cette fois-ci l'option 2 .
/!\ il y aura 2 redémarrages !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .
Note : lors du message d'avertissement , cliques sur " Ok " .
--> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...
( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci de vos réponses.
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
merci de vos réponses.
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
----------------- FindyKill V4.005 ------------------
* User : Laurent - LJDOM
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Recherche effectuée à 22:36:24 le 16/10/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Gravure\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe
D:\Program Files\Lecteurs\CyberLink\Power2Go\Power2GoExpress.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\VolumeTracker.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\DU Meter\DUMeterSvc.exe
D:\PROGRA~1\MICROS~1\rapimgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\Laurent\Application Data\m\flec006.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\Documents and Settings\Laurent\Bureau\RootkitRevealer\RootkitRevealer.exe
C:\DOCUME~1\Laurent\LOCALS~1\Temp\VUQLGQN.exe
C:\WINDOWS\explorer.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (1900)
"C:\WINDOWS\system32\wintems.exe" (752)
"C:\Documents and Settings\Laurent\Application Data\m\flec006.exe" (300)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Présent ! - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\127734.EXE-1D1C716E.pf
Present ! - C:\WINDOWS\prefetch\14667828.EXE-09122331.pf
Present ! - C:\WINDOWS\prefetch\14675156.EXE-0907A741.pf
Present ! - C:\WINDOWS\prefetch\147093.EXE-10B334A7.pf
Present ! - C:\WINDOWS\prefetch\151453.EXE-363F821A.pf
Present ! - C:\WINDOWS\prefetch\154359.EXE-3201D1EF.pf
Present ! - C:\WINDOWS\prefetch\317187.EXE-0B082BFA.pf
Present ! - C:\WINDOWS\prefetch\318453.EXE-1C3C59E6.pf
Present ! - C:\WINDOWS\prefetch\339718.EXE-21EDA7CC.pf
Present ! - C:\WINDOWS\prefetch\349921.EXE-255DCA5A.pf
Present ! - C:\WINDOWS\prefetch\396984.EXE-09C18154.pf
Present ! - C:\WINDOWS\prefetch\420156.EXE-130197A8.pf
Present ! - C:\WINDOWS\prefetch\429531.EXE-30DFE5F3.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-1CF87B3B.pf
Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0728C169.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-2B713A85.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-04D8B84E.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\down"
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\124890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\126140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\330000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\436390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\522250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\593140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\129031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\134781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14686671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\179031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\341671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\349921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\437921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46236421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46240421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\480281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\492781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\512031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14683562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14748812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\259062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\355062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46190812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\515062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14633593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14660593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\318453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\127734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\140234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14661484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\201484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\231484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\309984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\396984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46244484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\105125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\108375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\161875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\278015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\410265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\411125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\450625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\518125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\530625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\114156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\194046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\199406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\206156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\213296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\261546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\445156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\456156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46191906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46333406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14740687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\215937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\226687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46312187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\163468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\175828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\183328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\184218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\222328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\274578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\339718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\368078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\408718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\491218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14680109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\328859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\601609.exe
»»»» Presence des fichiers dans C:\Documents and Settings\Laurent\Application Data
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m"
»»»» Presence des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
Acrobat Assistant 8.0 REG_SZ "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
MagicSpeed REG_SZ D:\Program Files\SAMSUNG\Magic Speed\MagicSL.exe /autorun
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
McAfeeUpdaterUI REG_SZ "D:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
Sony Ericsson PC Suite REG_SZ "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
BDRegion REG_SZ C:\Program Files\Cyberlink\Shared Files\brs.exe
RemoteControl REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe"
LanguageShortcut REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\Language\Language.exe"
InstantBurn REG_SZ D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
LGODDFU REG_SZ "D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe" blrun
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools REG_SZ "D:\Program Files\Gravure\DAEMON Tools\daemon.exe" -lang 1033
EVEREST AutoStart REG_SZ F:\Program Files\EVEREST Ultimate Edition\everest.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
LightScribe Control Panel REG_SZ C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
Uniblue SpeedUpMyPC REG_SZ D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
H/PC Connection Agent REG_SZ "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\MuleAppData
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\FirtR
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
H: - Lecteur fixe
J: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
C'est une vraie galère je me demande s'il y a pas un rootkit.
Le virus stoppe l'exécution de pas mal de programmes.
----------------- FindyKill V4.005 ------------------
* User : Laurent - LJDOM
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Recherche effectuée à 22:36:24 le 16/10/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Gravure\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe
D:\Program Files\Lecteurs\CyberLink\Power2Go\Power2GoExpress.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\VolumeTracker.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\DU Meter\DUMeterSvc.exe
D:\PROGRA~1\MICROS~1\rapimgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\Laurent\Application Data\m\flec006.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\Documents and Settings\Laurent\Bureau\RootkitRevealer\RootkitRevealer.exe
C:\DOCUME~1\Laurent\LOCALS~1\Temp\VUQLGQN.exe
C:\WINDOWS\explorer.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (1900)
"C:\WINDOWS\system32\wintems.exe" (752)
"C:\Documents and Settings\Laurent\Application Data\m\flec006.exe" (300)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
Présent ! - C:\InfoSat.txt
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\127734.EXE-1D1C716E.pf
Present ! - C:\WINDOWS\prefetch\14667828.EXE-09122331.pf
Present ! - C:\WINDOWS\prefetch\14675156.EXE-0907A741.pf
Present ! - C:\WINDOWS\prefetch\147093.EXE-10B334A7.pf
Present ! - C:\WINDOWS\prefetch\151453.EXE-363F821A.pf
Present ! - C:\WINDOWS\prefetch\154359.EXE-3201D1EF.pf
Present ! - C:\WINDOWS\prefetch\317187.EXE-0B082BFA.pf
Present ! - C:\WINDOWS\prefetch\318453.EXE-1C3C59E6.pf
Present ! - C:\WINDOWS\prefetch\339718.EXE-21EDA7CC.pf
Present ! - C:\WINDOWS\prefetch\349921.EXE-255DCA5A.pf
Present ! - C:\WINDOWS\prefetch\396984.EXE-09C18154.pf
Present ! - C:\WINDOWS\prefetch\420156.EXE-130197A8.pf
Present ! - C:\WINDOWS\prefetch\429531.EXE-30DFE5F3.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-1CF87B3B.pf
Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-0728C169.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-2B713A85.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-04D8B84E.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\down"
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\124890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\126140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\167890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\330000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\436390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\522250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\593140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\129031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\134781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14686671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\179031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\197671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\303921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\341671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\349921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\437921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46236421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46240421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\480281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\492781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\512031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14683562.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14748812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\259062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\355062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46190812.exe
Present ! - C:\WINDOWS\system32\drivers\downld\515062.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14633593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14660593.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\208843.exe
Present ! - C:\WINDOWS\system32\drivers\downld\318453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365453.exe
Present ! - C:\WINDOWS\system32\drivers\downld\127734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\138734.exe
Present ! - C:\WINDOWS\system32\drivers\downld\140234.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14661484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\201484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\231484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\309984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\396984.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46244484.exe
Present ! - C:\WINDOWS\system32\drivers\downld\105125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\108375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\161875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174375.exe
Present ! - C:\WINDOWS\system32\drivers\downld\202875.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270515.exe
Present ! - C:\WINDOWS\system32\drivers\downld\278015.exe
Present ! - C:\WINDOWS\system32\drivers\downld\410265.exe
Present ! - C:\WINDOWS\system32\drivers\downld\411125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\450625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\518125.exe
Present ! - C:\WINDOWS\system32\drivers\downld\530625.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\101796.exe
Present ! - C:\WINDOWS\system32\drivers\downld\114156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\165046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\194046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\199406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\206156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\213296.exe
Present ! - C:\WINDOWS\system32\drivers\downld\261546.exe
Present ! - C:\WINDOWS\system32\drivers\downld\291046.exe
Present ! - C:\WINDOWS\system32\drivers\downld\445156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\456156.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46191906.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46333406.exe
Present ! - C:\WINDOWS\system32\drivers\downld\499656.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14740687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\215937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\226687.exe
Present ! - C:\WINDOWS\system32\drivers\downld\266937.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\46312187.exe
Present ! - C:\WINDOWS\system32\drivers\downld\113328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\163468.exe
Present ! - C:\WINDOWS\system32\drivers\downld\175828.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\183328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\184218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\222328.exe
Present ! - C:\WINDOWS\system32\drivers\downld\274578.exe
Present ! - C:\WINDOWS\system32\drivers\downld\339718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\368078.exe
Present ! - C:\WINDOWS\system32\drivers\downld\408718.exe
Present ! - C:\WINDOWS\system32\drivers\downld\491218.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14680109.exe
Present ! - C:\WINDOWS\system32\drivers\downld\328859.exe
Present ! - C:\WINDOWS\system32\drivers\downld\601609.exe
»»»» Presence des fichiers dans C:\Documents and Settings\Laurent\Application Data
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\flec006.exe"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\list.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\data.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\srvlist.oct"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m\shared"
Présent ! - "C:\Documents and Settings\Laurent\Application Data\m"
»»»» Presence des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
Acrobat Assistant 8.0 REG_SZ "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
MagicSpeed REG_SZ D:\Program Files\SAMSUNG\Magic Speed\MagicSL.exe /autorun
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
McAfeeUpdaterUI REG_SZ "D:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
Sony Ericsson PC Suite REG_SZ "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
BDRegion REG_SZ C:\Program Files\Cyberlink\Shared Files\brs.exe
RemoteControl REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe"
LanguageShortcut REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\Language\Language.exe"
InstantBurn REG_SZ D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
LGODDFU REG_SZ "D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe" blrun
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools REG_SZ "D:\Program Files\Gravure\DAEMON Tools\daemon.exe" -lang 1033
EVEREST AutoStart REG_SZ F:\Program Files\EVEREST Ultimate Edition\everest.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
LightScribe Control Panel REG_SZ C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
Uniblue SpeedUpMyPC REG_SZ D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
H/PC Connection Agent REG_SZ "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\MuleAppData
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\FirtR
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
SharedAccess - Type de démarrage = 2
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
H: - Lecteur fixe
J: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7545e511-7f70-11dd-af5d-00198600199c}\Shell\open\Command
------------------- ! Fin du rapport ! --------------------
alors je confirme que hijackths est bloqué aussi
nouveauté
y a un message d'erreur :
"impossible de trouver le moteur de script vbscript pour le script findykill\tools\avert.vbs"
aiee
nouveauté
y a un message d'erreur :
"impossible de trouver le moteur de script vbscript pour le script findykill\tools\avert.vbs"
aiee
Quand tu as l'ecran bleu : presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
dis moi si ton bureau réapparait ...
tapes explorer.exe et valides .
dis moi si ton bureau réapparait ...
normalement le mode sans échec doit être naze ....
fais ceci alors :
1- Supprimer Findykill proprement :
* Relances l'outil , et cette fois choisis l'option 3 pour le désinstaller ...
Supprimes aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .
2- fais exactement ce qui suit :
Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides .
- le renommage au téléchargement est primordial pour contrer Bagle, sinon l'outil sera inutilisable -
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .
Appuyes sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée dans: C:\Combofix.txt
Postes le rapport Combofix pour analyse ...
fais ceci alors :
1- Supprimer Findykill proprement :
* Relances l'outil , et cette fois choisis l'option 3 pour le désinstaller ...
Supprimes aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .
2- fais exactement ce qui suit :
Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes CFix et valides .
- le renommage au téléchargement est primordial pour contrer Bagle, sinon l'outil sera inutilisable -
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-cliques sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .
Appuyes sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée dans: C:\Combofix.txt
Postes le rapport Combofix pour analyse ...
prog désinstallé mais message d'erreur à la fin: c:\windows\system32\command.com NTVDM a rencontré une erreur systeme descripteur non valide
....
ensuite pour combofix, ce n'est pas évident cette saleté le bloquait
là il a démarré difficilement et me demande la console de récupération systeme
qu'il me faut installer
quelle bande de connnnnns ces types qui font perdre du temps aux autres.
....
ensuite pour combofix, ce n'est pas évident cette saleté le bloquait
là il a démarré difficilement et me demande la console de récupération systeme
qu'il me faut installer
quelle bande de connnnnns ces types qui font perdre du temps aux autres.
RE
Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)
http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)
http://sd-1.archive-host.com/membres/up/116615172019703188/KB2.exe
Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Etape 1 :
Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...
Etape 2 :
Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.
Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :
<ital>Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE<ital>
Une fois fait, le menu principal d'Elibagla apparaîtra :
- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.
/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.
Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt
j'allais justement te prévenir ^^