Attaque par virus baggle

Fermé

lolopodo - 16 oct. 2008 à 07:39
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 20 oct. 2008 à 10:07

Bonjour,
j'ai un gros soucis, j'ai le fameux virus baggle.
Il m'empêche d'installer un antivirus, de scanner en ligne, d'utiliser combofix (app win32 non valide).
Je ne sais pas quoi faire.

genproc me dis ceci:
merci de m'aider/

Rapport GenProc 2.119 [2] effectué le 16/10/2008 à 7:25:28,10 - Windows XP

# Etape 1/ Télécharge :

- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

- Combofix (sUBs) : par clic droit de souris sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe sélectionne "enregistrer sous" et nomme-le en combo-fix.exe. Double-clique ensuite sur combo-fix.exe, et appuie sur la touche Y (Yes) pour démarrer le scan et patiente.

Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste les trois rapports suivants :
- le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\
- le contenu du rapport qui se trouve dans C:\Combofix.txt
- un nouveau rapport GenProc.

A voir également:

Driver unloaded without cancelling pending operations
Svchost.exe virus - Guide
Youtu.be virus - Guide
Faux message virus iphone - Forum iPhone
Altruistic virus ✓ - Forum Antivirus
Myavids virus ✓ - Forum Téléphones & tablettes Android

103 réponses

Réponse 41 / 103

lolopodo
17 oct. 2008 à 22:01

bonsoir alors là y a du nouveau depuis ce matin, après utilisé elibagle et combofix en mode sans echec, au redémarrage je n'ai plus d'accès internet (je suis sur le portable) , quand je debranche le cable reseau l'ordi se fige plusieurs minutes, et me redonne la main après.
j'ai essayé "réparer" la connextion reseau local mais il y a une erreur windows n'arrive pas à effacer la memoire cache dns.

help please.

Réponse 42 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 22:17

Salut,

je pense que tu n'as pas besoin de nous vu que tu n'a pas fais les manipes demandés ... -_-

Donc si tu veux qu'on te donne une aide efficace commences par faire ceci et pas autre chose :

on repart de 0 , dans l'ordre :

1- Supprimes ton Elibagla pour le moment .

2- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
---> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

3- Si tu as encore Fyndykill sur ton PC supprimes le ainsi :

Supprimer Findykill proprement :
* Relances l'outil , et cette fois choisis l'option 3 pour le désinstaller ...

Supprimes aussi le set-up "Findykill.exe" qui est présent sur ton bureau ( direct dans la poubelle ) .

4- on recommence avec Findykill mis à jour :

Télécharges FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Réponse 43 / 103

lolopodo
17 oct. 2008 à 22:28

désolé pour les manips
mais je n'étais pas à la maison de la journée et je ne suis pas le seul à toucher à la bécane.
Je fais dans l'ordre ce que vous préconisez.

a de suite

Réponse 44 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 22:31

je ne suis pas le seul à toucher à la bécane

et bien il faudrait que plus personne y touche à part toi pour pouvoir la désinfecter ...
c'est primordial ! Sinon dans un moi on y est encore lol ! .... :p

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 103

lolopodo
17 oct. 2008 à 22:41

voilà le premier utilitaire:

pour nettoyer les outils:

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\GenProc.txt: trouvé !
C:\avenger.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Documents\ComboFix.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Jérôme\Bureau\MsnFix: trouvé !
C:\Documents and Settings\Jérôme\Bureau\MSNFix\MsnFix: trouvé !
C:\Documents and Settings\Laurent\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Laurent\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Laurent\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Laurent\Bureau\avenger: trouvé !
C:\Documents and Settings\Laurent\Bureau\GenProc: trouvé !
C:\Documents and Settings\Laurent\Bureau\avenger\avenger.exe: trouvé !
C:\Documents and Settings\Laurent\Bureau\GenProc\GenProc: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Documents\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Laurent\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Laurent\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Laurent\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Laurent\Bureau\avenger\avenger.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\GenProc.txt: supprimé !
C:\avenger.txt: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Jérôme\Bureau\MsnFix: supprimé !
C:\Documents and Settings\Laurent\Bureau\avenger: supprimé !
C:\Documents and Settings\Laurent\Bureau\GenProc: supprimé !

Réponse 46 / 103

lolopodo
17 oct. 2008 à 22:42

et le second

----------------- FindyKill V4.005 ------------------

* User : Laurent - MININT-R1Y3JE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Recherche effectuée à 13:36:05 le 17/10/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\McAfee\Common Framework\UdaterUI.exe
D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe
D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Gravure\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
D:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\VolumeTracker.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\PROGRA~1\MICROS~1\rapimgr.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
D:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
D:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\LVComsX.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\106968.EXE-35734DD5.pf
Present ! - C:\WINDOWS\prefetch\112953.EXE-1C07DFCB.pf
Present ! - C:\WINDOWS\prefetch\126031.EXE-100E7816.pf
Present ! - C:\WINDOWS\prefetch\132109.EXE-05B0E18A.pf
Present ! - C:\WINDOWS\prefetch\136031.EXE-0F980C7D.pf
Present ! - C:\WINDOWS\prefetch\229875.EXE-0ED228B2.pf
Present ! - C:\WINDOWS\prefetch\248890.EXE-02C819C3.pf
Present ! - C:\WINDOWS\prefetch\253421.EXE-0E2DBD6F.pf
Present ! - C:\WINDOWS\prefetch\314921.EXE-31A0B64A.pf
Present ! - C:\WINDOWS\prefetch\333046.EXE-256CAC02.pf
Present ! - C:\WINDOWS\prefetch\342078.EXE-2249D033.pf
Present ! - C:\WINDOWS\prefetch\93062.EXE-393948CA.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-1CF87B3B.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-2B713A85.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-04D8B84E.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-1215CF9F.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\Laurent\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UnlockerAssistant REG_SZ "C:\Program Files\Unlocker\UnlockerAssistant.exe"
Acrobat Assistant 8.0 REG_SZ "D:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
MagicSpeed REG_SZ D:\Program Files\SAMSUNG\Magic Speed\MagicSL.exe /autorun
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
McAfeeUpdaterUI REG_SZ "D:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
Sony Ericsson PC Suite REG_SZ "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
BDRegion REG_SZ C:\Program Files\Cyberlink\Shared Files\brs.exe
RemoteControl REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\PDVDServ.exe"
LanguageShortcut REG_SZ "D:\Program Files\Lecteurs\CyberLink\PowerDVD\Language\Language.exe"
InstantBurn REG_SZ D:\PROGRA~1\Lecteurs\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
LGODDFU REG_SZ "D:\Program Files\Lecteurs\CyberLink\LG firm update\fwupdate.exe" blrun
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
AVP REG_SZ "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools REG_SZ "D:\Program Files\Gravure\DAEMON Tools\daemon.exe" -lang 1033
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
LightScribe Control Panel REG_SZ C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
Uniblue SpeedUpMyPC REG_SZ D:\Program Files\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
H/PC Connection Agent REG_SZ "D:\Program Files\Microsoft ActiveSync\wcescomm.exe"

--------------- [ Registre / Clés infectieuses ] ----------------

Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_CURRENT_USER\Software\bisoft

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur fixe

F: - Lecteur fixe

H: - Lecteur fixe

J: - Lecteur fixe

M: - Lecteur amovible

+- presence des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

------------------- ! Fin du rapport ! --------------------

Réponse 47 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 22:44

Et oui il en reste ...

bon cette fois cela devrai bien ce passer :

1- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...

2- Relances FindyKill :

-> choisis cette fois-ci l'option 2 .

/!\ il y aura 2 redémarrages !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , cliques sur " Ok " .

--> ensuite postes le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

Réponse 48 / 103

lolopodo
17 oct. 2008 à 22:51

çà progresse non?
J'ai un PDA peut il être un vecteur de contamination?
Il est connecté par active sync, ce n'est pas une clé usb. Par ailleurs ces dernieres sont bien branchées.

j'ai lancé findykill mais m'a dit qu'il y avait des fichiers manquants.
J'ai refait une install par dessus.
Et là je l'ai lancé, je le laisse travailler.

Réponse 49 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 22:55

J'ai un PDA peut il être un vecteur de contamination?
Il est connecté par active sync

dans ce cas la non ... io ne doit pas être contaminé ...

Réponse 50 / 103

lolopodo
17 oct. 2008 à 22:57

bizarre findykill n' a pas lair de faire gd chose
il y a marqué suppression des fichiers infectieux
ca clignote (curseur)

rien nada

kaspersky est en marche dois je le desactiver?

Réponse 51 / 103

lolopodo
17 oct. 2008 à 22:58

je suis très con
il fallait appuyer sur une touche
lol

Réponse 52 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 22:59

...

Réponse 53 / 103

lolopodo
17 oct. 2008 à 23:03

désactivation ou désinstallation ?

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 23:05

laisse finir l'outil pour le momment et postes moi le rapport si cela à fonctionner ...

si cela a foiré , reprends la manipe de l'étape 2 en ayant désactivé kaspersky avant ...

Réponse 54 / 103

lolopodo
17 oct. 2008 à 23:16

je peux pas poster le cpte rendu sur le forum

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 23:17

bouge pas , je fais le nécessaire ...

Eaulive Messages postés 27038 Date d'inscription jeudi 18 avril 2002 Statut Modérateur Dernière intervention 23 juin 2015 289 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
17 oct. 2008 à 23:45

rapport

----------------- FindyKill V4.005 ------------------

* User : Laurent - MININT-R1Y3JE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Suppression effectuée à 14:01:39 le 17/10/2008
* Windows XP - Internet Explorer 7.0.5730.13


((((((((((((((( *** Suppression *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\McAfee\Common Framework\naPrdMgr.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Suppression des fichiers dans C:


»»»» Suppression des fichiers dans C:\WINDOWS


»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

Supprimé ! - C:\WINDOWS\Prefetch\126031.EXE-100E7816.pf
Supprimé ! - C:\WINDOWS\Prefetch\136031.EXE-0F980C7D.pf
Supprimé ! - C:\WINDOWS\Prefetch\253421.EXE-0E2DBD6F.pf
Supprimé ! - C:\WINDOWS\Prefetch\314921.EXE-31A0B64A.pf
Supprimé ! - C:\WINDOWS\Prefetch\93062.EXE-393948CA.pf
Supprimé ! - C:\WINDOWS\Prefetch\ALBUMDB2.EXE-055536D2.pf
Supprimé ! - C:\WINDOWS\Prefetch\CF16242.EXE-0DAC08B9.pf
Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-15626E12.pf
Supprimé ! - C:\WINDOWS\Prefetch\FXSVR2.EXE-0166CA0A.pf
Supprimé ! - C:\WINDOWS\Prefetch\NVSVC32.EXE-08132D86.pf
Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-222DAD05.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-38693527.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D7F8B44.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4A2651EC.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4E912982.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-5ACCC982.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6687CE94.pf
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-6A480868.pf
Supprimé ! - C:\WINDOWS\Prefetch\112953.EXE-1C07DFCB.pf
Supprimé ! - C:\WINDOWS\Prefetch\229875.EXE-0ED228B2.pf
Supprimé ! - C:\WINDOWS\Prefetch\333046.EXE-256CAC02.pf
Supprimé ! - C:\WINDOWS\Prefetch\FLEC006.EXE-1CF87B3B.pf
Supprimé ! - C:\WINDOWS\Prefetch\106968.EXE-35734DD5.pf
Supprimé ! - C:\WINDOWS\Prefetch\342078.EXE-2249D033.pf
Supprimé ! - C:\WINDOWS\Prefetch\132109.EXE-05B0E18A.pf
Supprimé ! - C:\WINDOWS\Prefetch\248890.EXE-02C819C3.pf
Supprimé ! - C:\WINDOWS\Prefetch\CF12160.EXE-2507B3AF.pf
Supprimé ! - C:\WINDOWS\Prefetch\WINTEMS.EXE-04D8B84E.pf
Supprimé ! - C:\WINDOWS\Prefetch\MDELK.EXE-2B713A85.pf

»»»» Suppression des fichiers dans C:\WINDOWS\system32


»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers


»»»» Suppression des fichiers dans C:\Documents and Settings\Laurent\Application Data


»»»» Suppression des fichiers dans C:\DOCUME~1\Laurent\LOCALS~1\Temp


--------------- [ Registre / Clés infectieuses ] ----------------

Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
Supprimé ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\hldrrr
Supprimé ! - HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Local AppWizard-Generated Applications\nideiect

-> Certaines clés ont été supprimées au premier reboot ...

--------------- [ Etat / Redémarage des services ] ----------------

+- Mode sans echec restauré !

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 2

Wlansvc - Type de démarrage = 2

Ip6Fw - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2


--------------- [ Nettoyage des supports amovibles ] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur fixe

F: - Lecteur fixe

H: - Lecteur fixe

J: - Lecteur fixe

K: - Lecteur amovible

M: - Lecteur amovible

N: - Lecteur amovible


+- Suppression des fichiers :


--------------- [ Registre / Moutpoint2 ] ----------------


-> Recherche négative.


--------------- [ Recherche Cracks / Keygen ] ----------------

C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\2bcalvi Dany corse Le numero un en telechar.url
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\ASTALAVISTA.url
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\Crackspider.net! Search cracks, serial numbers, keygens and patches for appz and games for pc,m.url
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\GameCopyWorld.url
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\LynxView http--212.43.218.210-.url
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\MegaGames - The Hardcore Gaming Experience.url
C:\Documents and Settings\Laurent\Favoris\Moteurs de recherche\Dossier crack\Serial Gamer L'Annuaire 100 % Jeux VidÇ¸o Tests Previews Astuces Soluces Screenshots .url


---------------- ! Fin du rapport ! ------------------

Réponse 55 / 103

lolopodo
17 oct. 2008 à 23:27

kepassa avec le forum ? çà marche tjs pas. snif

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 23:34

ton rapport ne passe pas car il y a quelques travaux sur le site donc quelques soucis ...

patientons encore un peu , j'ai fais appel aux autorités compétantes ^^ ... elles vont essayées de nous repêcher le rapport ...

Réponse 56 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 23:41

bon ... doivent être déborder ...

la solution : inscris toi sur le site ....

ensuite tu pourra avoir accès au message privé via les profiles des membres ...

mon profile :
http://www.commentcamarche.net/communaute/profil sKe69

une fois dans mon profile , tu cliques sur " envoyer un message " ...là tu remplis les champs et tu me postes le rapport ...

sinon cela risque de durer longtemps ....

Réponse 57 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 oct. 2008 à 23:58

Merci Eaulive pour le rapport ;)

lolopodo,

je regarde tout cela et te donne la suite ...

Réponse 58 / 103

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 oct. 2008 à 00:17

Dans l'ordre :

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

==================

2- si tu as des prb de connections :

--> suit cette proccédure : https://forum.malekal.com/viewtopic.php?f=60&t=7382

ou,

Vous n'arrivez plus a vous connecter avec votre wifi. Si vous allez dans les outils administration sur la page "services" pour activer "configuration automatique sans fil" vous avez l'erreur 1068.

Si c'est votre cas et que vous vous etes arraché les cheveux, voici la solution:

Vous devez aller dans la base de registre avec regedit ou autre.

A. Demarrer > executer > Tapez : "regedit" en ok

B. Allez sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio

Dans cette clé il y a une entrée nommée "START", double cliquez dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement.

Un virus comme "bagle / Beagle" change cette entrée et la met sur 4 (disable) et cause le probleme que vous avez.

Reboutez ensuite votre PC et tout devrait rentrer dans l'ordre.

=============

3-Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\lgfwup.ini

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
C:\WINDOWS\system32\lgfwunis.exe

postes moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) ...

========================

4- supprimes ton hijackthis ( car shooter par bagle ) et fais ceci :

A- Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne lance pas ce prg pour l'instant et fais la suite ... )

B- Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et fermes toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...

-> laisses faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Réponse 59 / 103

lolopodo Messages postés 34 Date d'inscription vendredi 17 octobre 2008 Statut Membre Dernière intervention 20 octobre 2008 1
18 oct. 2008 à 01:09

MERCI pour cess conseils que je suis
mais je me suis endormi

je vous dis à demain

pour la suite

bonne nuit et merci beaucoup

Réponse 60 / 103

lolopodo Messages postés 34 Date d'inscription vendredi 17 octobre 2008 Statut Membre Dernière intervention 20 octobre 2008 1
18 oct. 2008 à 10:16

et çà repart ....

Discussions similaires

Est ce que le site tlauncher est dangereux ?

Softonic,est-ce un virus ?

4 virus en raison d’un porno ????

Comment savoir si j'ai attrapé un virus sur mon téléphone ?

problême Opéra est ce un virus??

Discussions similaires

Newsletters