worm.bagle Fermé

Question

Bonjour,

je suis infecté par un fichier worm.bagle qui change ma clé de registre "start" a 4 au lieu de 3 a chaque fois que je demarre windows ce qui a pour effet que je ne peut aller sur internet lorsque la clé est a 4 alors je dois toujours changer la valeur de la clé et redemarrer. je nai aucun anti-virus sur mon ordi et jaimerais bien si quelqun pourrais me dire quoi faire pour me debarrasser de ce virus merci!

Utilisateur anonyme · Answer

Hi,

Télécharges- FindyKill de Chiquitine29 :

FindyKill de Chiquitine29

->-Enregistres le sur ton bureau et pas ailleurs !

-!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "-FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


-Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

jdwoods41 · Answer

salut, merci de mavoir repondu aussi vite, je vien de telecharger findykill mais quand jessai loption 1 sa me marque : Access to "C:/windows/system32/wintems.exe" is denied. et ya rien qui se passe...

Utilisateur anonyme · Answer

Hi,

fait ce qui suit et relance findykill:

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
    * Choisis ton compte.
    * Une autre manière en images. 


Affiche tous les fichiers :

    * Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
    * Coche la case "Afficher les fichiers et dossiers cachés".
    * Décoche la case "Masquer les extensions des fichiers dont le type est connu". 


Supprime le fichier C:\WINDOWS\System32\wintems.exe.vir <- le fichier

Redémarre en mode normal ...

jdwoods41 · Answer

salut, le virus doit affecter mon systeme plus que jle pensais je ne peux pas redemarrer en mode sans echec... sa me marque un message derreur bleu pendant genre 1 seconde et sa redemarre tu seul apres...

Utilisateur anonyme · Answer

Hi,

Essai avec cela:

&#9654; Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
&#9654; tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
&#9654; installe ce fichier sur le Bureau.
&#9654; ensuite double-clic sur Elibagla.exe
&#9654; laisse la case "eliminar ficheros automaticamente" coché
&#9654; clique sur"explorar"
&#9654; laisse-le travailler

&#9654; Redémarre en mode sans échec,

*Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

&#9654; relance 2 fois elibagla

&#9654; redémarre en mode normal

&#9654; poste le rapport final qui sera dans c:\infosat.txt

jdwoods41 · Answer

salut, ca ete long mais jai fait ske tu ma dit :P voici le rapport:


	  Tue Jun 03 12:47:03 2008
EliBagle v11.45  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Tue Jun 03 12:49:03 2008
EliBagle v11.45  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Thu Nov 27 19:00:17 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SARAH GARIéPY\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SARAH GARIéPY\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

	  Thu Nov 27 19:01:24 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\SARAH GARIéPY\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

	  Thu Nov 27 19:01:33 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   6027
Nº Total de Ficheros:      60133
Nº de Ficheros Analizados: 9223
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Thu Nov 27 19:16:16 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\SARAH GARIéPY\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle

	  Thu Nov 27 19:16:31 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\MDELK.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\downld\196234.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\243328.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\256140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\346609.EXE --> Eliminado Bagle

Nº Total de Directorios:   6320
Nº Total de Ficheros:      62956
Nº de Ficheros Analizados: 9248
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados:  6

	  Thu Nov 27 19:29:01 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"

	  Thu Nov 27 19:29:03 2008
EliBagle v12.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   6319
Nº Total de Ficheros:      62950
Nº de Ficheros Analizados: 9242
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Utilisateur anonyme · Answer

Hi,

Très bien.

maintenant tu vire ellibagla et tu passe findykill.

merci.

Alut.

jdwoods41 · Answer

salut cest tu normal sur findykill que sa marque recherche de fichiers dossiers... pis ya rien dautre qui change dans lecran... jai comme limpression que c geler la ou je sais pas.. sa prend combien de temps dhabitude a findykill faire le scan?

jdwoods41 · Answer

ok oubli sa jvien de recevoir le rapport :P



----------------- FindyKill V4.706 ------------------

* User : Sarah Gari‚py - SARAH
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 27/11/08 par Chiquitine29
* Recherche effectuée à 19:50:06 le 2008-11-27
* Windows XP - Internet Explorer 6.0.2900.2180
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\update\update.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
Found ! [2008-06-03 11:46] - "C:\Muestras" 
Found ! [2008-11-27 19:38] - C:\InfoSat.txt 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
Found ! - C:\WINDOWS\prefetch\196234.EXE-01F19025.pf 
Found ! - C:\WINDOWS\prefetch\243328.EXE-31B8D1A0.pf 
Found ! - C:\WINDOWS\prefetch\256140.EXE-189A94BC.pf 
Found ! - C:\WINDOWS\prefetch\310968.EXE-0AD809CA.pf 
Found ! - C:\WINDOWS\prefetch\346609.EXE-36D0B51A.pf 
Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-33271A85.pf 
Found ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf 
Found ! - C:\WINDOWS\prefetch\MDELK.EXE-23B13664.pf 
Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
Found ! [2008-11-27 19:28] - "C:\WINDOWS\system32\drivers\downld" 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\143468.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\148703.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\299406.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\310968.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\378156.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\379750.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\402343.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\447578.exe 
Found ! [2008-11-27 19:28] - C:\WINDOWS\system32\drivers\downld\467828.exe 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Sarah Gari‚py\Application Data 
 
 
»»»» Presence des fichiers dans C:\DOCUME~1\SARAHG~1\LOCALS~1\Temp 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\Sarah Gari‚py\Local Settings\Temporary Internet Files\Content.IE5 
 
 
--------------- [ Registre / Startup ] ----------------  
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]

   MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
   Antispyware=C:\Program Files\Antispyware\Antispyware.exe -boot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]

   ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
   hpWirelessAssistant=C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
   SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
   SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
   eabconfg.cpl=C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
   DXDllRegExe=dxdllreg.exe
   QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
   f79beb09=rundll32.exe "C:\WINDOWS\9bf2b03f.dll",e
   Lziloyaqoxi=rundll32.exe "C:\WINDOWS\f762f3a.dll",e
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL=
   Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI=
   Installed=1
   NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS=
   Installed=1
 
[HKEY_CURRENT_USER\software\local appwizard-generated applications\75675678894534654654658454534556]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\ESApp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Kodak EasyShare]
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
Found ! - HKEY_USERS\S-1-5-21-3156977491-3718123357-355441612-1006\Software\FFC 
Found ! - HKEY_USERS\S-1-5-21-3156977491-3718123357-355441612-1006\Software\MuleAppData 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA 
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA 
 
--------------- [ Etat / Services ] ---------------- 
 


+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

 Ndisuio - Type de démarrage = 3 
 
 /!\ Ip6Fw - Type de démarrage = 4 
 
 SharedAccess - Type de démarrage = 2 
 
 wuauserv - Type de démarrage = 2 
 
 /!\ wscsvc - Type de démarrage = 4 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe

 
+- presence des fichiers :  

 
 
--------------- [ Registre / Mountpoint2 ] ----------------  
 
 
-> Not found ! 
 
 
------------------- ! Fin du rapport ! --------------------

Utilisateur anonyme · Answer

Hi,


Ce rapport de FindyKill est complet. L'infection Bagle s'attrape dans les cracks et keygens donc si tu en as, il faut les supprimer sinon l'infection se relancera.

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 2 (Suppression)

/!\ Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Il faut laisser travailler l'outil aussi.

sinon fait ceci et on verra ensuite :

télécharge hijackthis
->  enregistre la cible sous .... "le bureau" 

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse 

->Tuto hijackthis(Merci à Balltrap34)

jdwoods41 · Answer

salut, jai utiliter hijack pcq lotre programme jpense que sa marchais pas... voici le rapport de Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:47, on 2008-11-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\update\update.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MSVPS System - {88418AA3-16F5-4FC2-A9D8-90B1266DF841} - C:\WINDOWS
sduo.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {ACD85107-9CF9-4C9E-B0B7-39940A0017C0} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [f79beb09] rundll32.exe "C:\WINDOWS\9bf2b03f.dll",e
O4 - HKLM\..\Run: [Lziloyaqoxi] rundll32.exe "C:\WINDOWS\f762f3a.dll",e
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Antispyware] C:\Program Files\Antispyware\Antispyware.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O21 - SSODL: msmhost - {0302671E-1195-440B-A6EB-4554F0E664F2} - C:\WINDOWS\msmhost.dll (file missing)
O21 - SSODL: msmdev - {5585DA63-B7CF-468F-8E41-B0D372534F53} - C:\WINDOWS\msmdev.dll (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

Hi,

==>Télécharge  sur ton bureau MSNFix

    * Enregistrez le fichier sur votre bureau.
    * Ne pas double-cliquer sur le fichier
    * Faites un clic droit sur le fichier puis Extraire tout, le but étant de récupérer un dossier MSNFix 

    *  Double-cliquez sur le dossier MSNFix afin de l'ouvrir
    * Vous trouverez dedans un nouveau dossier ainsi qu'un fichier MSNFix.bat (le .bat peut ne pas apparaître chez vous).
    * Double-cliquez sur MSNFix.bat


Alut.

jdwoods41 · Answer

ok jai ouvert msnfix, jai fait rechercher mais il n'a rien trouver... quesce que je fait?

Utilisateur anonyme · Answer

Hi,

Bizarre:

Télécharges MsnCleaner.zip de ElPiedra :

msncleaner

Décompresses le sur ton bureau. (Cliques droit sur le fichier .zip puis "Extraire tout").

Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec  , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

· Cliques sur MsnCleaner.exe pour le lancer.
· Sous Language, cliques sur la petite flèche et choisis French.
· Cliques sur le bouton Analyse.
->Si l'outil trouve une infection, cliques sur le bouton Supprimer .
· A la fin du scan un rapport va être créé.

-> Redémarres ton PC ( mode normal ).

Postes le rapport C:\MsnCleaner\MsnCleaner.txt dans ta prochaine réponse ...

jdwoods41 · Answer

salut jai faite ce que tu ma dit et le programme na pas trouver d'infections... je suis pas un gars patient et je dois aller travailler pour 9 heure alors merci quand meme pour ton aide mais je n'aurai pas le temps de resoudre mon probleme je vais continuer a changer la clé de registre

merci bye

Utilisateur anonyme · Answer

Hi,

Pas trop, grave fait ce fix la:

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)

ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread

ou http://sdfix.net/SDFix.exe

--> Double-cliques sur SDFix.exe et choisis "Install" . 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur

• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.

• Appuie sur une touche pour commencer le processus de nettoyage.

• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur une touche pour redémarrer le PC.

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

•NOTE:Si SDFix ne se lance pas
Clique sur=> Démarrer => Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.

Redémarre et essaie de relance SDFix.

Worm.bagle

16 réponses