Sujet Précédent Sujet Suivant

Porbleme Bagle urgent svp

Fermé
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 - 27 juin 2009 à 04:31
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 - 1 juil. 2009 à 06:20
Bonjour,
Mon probleme c'est que je vien de avoir le virus Bagle

et j'aimerez que quelqun comment dire suivre mon dossier ^^ pour m'aider a le supprimer

je les attraper avec emule et il ma tout deco avast .. et il est plus executable

merci,

38 réponses

Précédent
  • 1
  • 2
Réponse 21 / 38
Nic00 Messages postés 1701 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 30 mars 2010 95
27 juin 2009 à 13:41
Fais lui passer l'option 2 de FindyKill Trying2, il/elle est infecté(e).
0
Réponse 22 / 38
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 13:48
Bulbiflore, soit tu réponds clairement aux questions qu'on te pose, soit on ne va pas avancer.



1/Est-ce que tu possèdes des clés USB, ou disques dur externes?

2/Les as tu tous branchés lors de l'analyse par findykill?

3/Quels sont les autres "logiciels" que tu as essayé avant de venir sur le forum?
0
Réponse 23 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 14:10
1 :non je n'en possede pas


2:Bin non ^^

3: rien

sinon j'est quand meme fait findykill qui a donnez sa









--------------- [ Active Processes ] ----------------


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:


»»»» Supression files in C:\Windows


»»»» Supression files in C:\Windows\Prefetch


»»»» Supression files in C:\Windows\system32


»»»» Supression files in C:\Windows\system32\drivers


»»»» Supression files in C:\Users\tohami\AppData\Roaming


»»»» Supression files in C:\Users\tohami\AppData\Local\Temp


»»»» Supression files in C:\Users\tohami\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1VD8JKRS\4e93bf357110e9e031b1950ce3a4bd42b646d8be_medium[1].jpg
Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1VD8JKRS\f10e235b6425b49ebfc9bd7bd3e2998edad00f81[1].jpg
Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6ERV8EJM\b64[1].jpg
Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6ERV8EJM\f10e235b6425b49ebfc9bd7bd3e2998edad00f81_medium[1].jpg
Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C2GWL8QO\b64_1[1].jpg
Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y18RVIIS\4e93bf357110e9e031b1950ce3a4bd42b646d8be[1].jpg
Deleted ! - C:\Users\Papa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y18RVIIS\y1pnFUmNdIPf20qmxdoVl3ABCx9dwb3S3nruC8eIvwOMb9QON4A__BkIM2ECJtNAH4dR7j_aXjghr4[1].jpg

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S

--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Wlansvc - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

WinDefend - Type of startup = 2


--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Eingebautes Laufwerk
D: - Eingebautes Laufwerk

+- deleting files :


--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


--------------- [ Searching Cracks / Keygen ] ----------------



---------------- ! End of report ! ------------------
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 14:21
Et bien continue tout seul!

Depuis le début tu ne fais rien de ce qu'on te dit, tu prends des initiatives sans savoir ce que tu fais.
Le minimum quand on demande de l'aide, c'est d'écouter ce qu'on te conseille et de répondre aux questions qu'on te pose.

Tes efforts de rédaction sont à la limite du ridicule.
Tes rapports sont incomplets.



Salut.




Edit: Si tu changes de comportement, que tu relis convenablement tout ce topic et que tu apportes certaines explications, je suis prêt (et je pense comme bien d'autres) à quand même te filer un coup de main.

Je n'ai jamais réagit de la sorte, mais en même temps personne ne s'est jamais comporté ainsi lors d'une demande d'assistance.

0
Réponse 24 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 15:48
D'accord dsl

si tu ve on reprend tout a zero du debut a la fin ???
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 15:52
Par contre

si tu m'aide il y a moyen qu'on utilise le logiciel le plus facile

car je comprend pas trop et en plus mon pc est en allemand
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 16:11
Pour être clair avec toi.

Tu as utilisé des "logiciels" dont l'utilisation si elle n'est pas maîtrisée peut conduire à des dysfonctionnements sur ton pc.

Tu as certainement supprimé des éléments dont visiblement tu n'arrives pas à retrouver la trace et qui font risquer à la personne qui va t'aider de commettre des erreurs.

De plus, comble du hasard et si tu dis la vérité, Findykill a été retiré de la circulation (cette nuit^^) par son créateur et je ne sais même pas vu les circonstances, si son utilisation est encore autorisée.


Alors je te demanderai en toute sincérité de bien vouloir me lister tous les programmes que tu as téléchargés ou utilisés ou tentés d'utiliser.

De plus, tu es sur un forum et tu requiers une assistance, la moindre des politesses que je m'applique et que je te souhaiterai voir mettre en oeuvre est d'être un minimum explicite, clair et de construire des phrases en évitant les abréviations.

Donc qu'as tu utilisé comme programmes depuis que tu t 'es rendu compte que tu es infecté?
Comment se sont déroulés ces diverses opérations? (problèmes rencontrés, "réussites"?)
0
Réponse 26 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 16:19
Alors

j'est utliser limwewire qui est la cause de mon infection

windows live messenger qui bug bien mais je les supprimer

dofus ^^: qui fonctionne parfaitement

hijackthis qui ne marche pas (probleme win32) idem pour avast

findykill qui fonctionne bien
voila

si il te manque des info dit moi

oui aussi stp(pour toi la restauration complete du systeme peut etre une solutiion ??
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 16:26
La restauration complète du système peut-être une solution ?
(Les accents et les majuscules tout comme les virgules entre autres, c'est pratique pour se comprendre, essaye de te relire au moins une fois avant de poster stp)
Malheureusement non.

Tu n'as pas du tout essayé d'utiliser Combofix?
0
Réponse 27 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 16:42
Vous ne pouvez pas renommer Conbofix en combofix 8

Veuiller choisir un autre nom de préference composer de caractere
alphanumerique


Voila se qui me dise quand je le lance
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 16:44
Excuse-moi, es tu d'origine francophone?
Es tu bon en informatique?
0
Réponse 28 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 16:47
Oui je suis d'origine francophone


EN informatique je suis bon juste en jeux video
0
Réponse 29 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 16:49
Tu doit me prendre pour un con

Bon j'est 13 ans chui pas expert en informatique

0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 17:00
Non, je ne te prends pas pour un c**.

Je cherche juste à comprendre ce que tu as pu faire avec ton pc et ce que tu pourras faire et la manière dont je dois m'exprimer vis à vis de toi.

Parce que j'ai l'impression que tu ne me comprends pas toujours et pourtant je te promet que j'essaie d'être le plus clair possible.
Essaie aussi d'être le plus clair possible (en évitant le langage sms).
Fais exactement ce que je te dis, ni plus ni moins et répond à chacune de mes questions stp. (je met toujours un point d'interrogation à la fin de mes phrases quand j'attends des réponses).

On va prendre le temps de faire les choses dans l'ordre et on va s'en sortir, ne t'inquiète pas:)


Si tu es partant, on commence:


Ouvre ton poste de travail, sous Vista cela s'appelle logiquement "Ordinateur" et c' est placé sur ton bureau.
Ouvre ton disque dur C:/ et recherche à l'intérieur un fichier texte qui s'appelle Bug.txt.
Ouvre le, fais ensuite sélectionner tout (Ctrl+A) puis copier (Ctrl+C).
Reviens sur le forum et dans ton prochain message colle (Ctrl+V) le contenu de ce rapport.

@+
0
Réponse 30 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 16:56
quelqun aurait une petite idée
0
Réponse 31 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 16:58
tryng stp donne mois juste ce quii faut faire, et je te laisse tranquille
0
Réponse 32 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 17:13
2788R22FWJFW\PEV.exe uzip "32788R22FWJFW\License\pv_5_2_2.zip" "32788R22FWJFW\License" && MOVE /Y "32788R22FWJFW\License\pv.exe" 32788R22FWJFW\
Das System hat keinen Meldungstext für die Meldungsnummer 0x236e in der Meldungsdatei Application gefunden.

32788R22FWJFW\pv.exe -kf n.com
Killing 'n.com'
pv: Access to '"C:\32788R22FWJFW\n.com" cmdwait 2500 exec hide "~$folder.system$\cmd.execf" /c 32788R22FWJFW\prep.cmd' is denied.

MOVE /Y 32788R22FWJFW\pv.exe 32788R22FWJFW\pv.cfexe
Das System hat keinen Meldungstext für die Meldungsnummer 0x236e in der Meldungsdatei Application gefunden.

32788R22FWJFW\pv.cfexe -kf n.com
Killing 'n.com'
pv: No matching processes found

PUSHD "C:\32788R22FWJFW"

IF NOT EXIST pev.cfexe COPY /Y pev.exe pev.cfexe
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

IF NOT EXIST Nircmd.com COPY /Y n.com Nircmd.com
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

SET "Comspec=C:\Windows\system32\cmd.execf"

IF NOT EXIST C:\Windows\system32\cmd.exe GOTO Not_NT

IF EXIST OsVer EXIT

VER 1>OsVer

GREP.cfexe -F "5.2." OsVer

IF 1 == 0 GOTO Not_NT

GREP.cfexe -F "5.1.2" OsVer

IF 1 == 0 GOTO NT

GREP.cfexe -F "5.00.2" OsVer

IF 1 == 0 GOTO NT

GREP.cfexe -sq "currentversion.* 6.0" OsVer00 && GOTO NT

GREP.cfexe -isq "ProductType.*WinNT" WinNT00 || GOTO Not_NT

SED.CFEXE "/^PATH=/I!d; s///; s/\x22//g" Oripath 1>OriPath00

PEV.EXE -rtf -s+901 .\OriPath00 && (
SED.CFEXE -r "s/\x22//g; s/(.{900}).*/\1/; s/;[^;]*$//" OriPath00 1>OriPath01
FOR /F "TOKENS=*" %G IN (OriPath01) DO @SET "PATH=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;%G"
)

IF NOT EXIST OriPath01 FOR /F "TOKENS=*" %G IN (OriPath00) DO SET "PATH=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;%G"

SET "PATH=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\hp\bin\Python;C:\Program Files\QuickTime\QTSystem\"
Killing 'runonce.exe'
Killing 'grpconv.exe'
Killing 'procmon.exe'
pv: No matching processes found

PEV -rtf --c:##5# .\* and { License.exe or 32788R22FWJFW.exe or OsVer.exe or WinNT.exe or N_.exe } 1>temp00 && (
PV -o%f * 1>temp01
PEV -tf -t!o --files:temp01 --c:##5#b#f# 1>temp02
FINDSTR -BIG:temp00 temp02 1>temp03
SED "/.* /!d; s///" temp03 1>temp04
SED ":a; $!N; s/\n/\x22 \x22/; ta; s/.*/\x22&\x22/" temp04 1>temp05
FOR /F "TOKENS=*" %G IN (temp05) DO @NIRCMD KILLPROCESS %G
)

CALL :MDCheck
Das System hat keinen Meldungstext für die Meldungsnummer 0x40002712 in der Meldungsdatei Application gefunden.

PEV -rtf -md57A310C55B8051F702794B0E9C4830066 .\md5sum.pif || CALL :MDFaiL ChkSum_Fail
.\md5sum.pif

PEV -tf --files:files.pif --c:##5#b#f# 1>mdCheck00.dat

GREP -vs "^!MD5:" mdCheck00.dat | GREP -Fvf md5sum.pif 1>mdCheck01.dat && CALL :MDFaiL

GOTO :EOF

=============================================

ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\tohami\AppData\Roaming
CFLDR=32788R22FWJFW
Chksum=7A310C55B8051F702794B0E9C4830066
CLASSPATH=.;C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=PAPA-PC
ComSpec=C:\Windows\system32\cmd.execf
DFSTRACINGON=FALSE
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\tohami
KMD=CF21552.exe
LOCALAPPDATA=C:\Users\tohami\AppData\Local
LOGONSERVER=\\PAPA-PC
MSWorksProductCode={3B160861-7250-451E-B5EE-8B92BF30A710}
NUMBER_OF_PROCESSORS=2
OnlineServices=Online Services
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\hp\bin\Python;C:\Program Files\QuickTime\QTSystem\
PATHEXT=.CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PCBRAND=Presario
Platform=HPD
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=6b02
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
PROMPT=$
PUBLIC=C:\Users\Public
Qrntn=C:\Qoobox\Quarantine
QTJAVA=C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
RKEY_=hklm\software\microsoft\windows nt\currentversion\windows
sfxcmd="C:\Users\tohami\Downloads\ComboFix(8).exe"
sfxname=C:\Users\tohami\Downloads\ComboFix(8).exe
SYSTEM=C:\Windows\system32
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\tohami\AppData\Local\Temp
TMP=C:\Users\tohami\AppData\Local\Temp
TRACE_FORMAT_SEARCH_PATH=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
USERDOMAIN=Papa-PC
USERNAME=tohami
USERPROFILE=C:\Users\tohami
windir=C:\Windows
0
Réponse 33 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 17:18
IF NOT DEFINED sfxname GOTO END

GREP -F \ temp01 && CALL :Aux

ATTRIB.EXE +R "C:\Users\tohami\Downloads\ComboFix(8).exe"

Failed to get data for 'EnableLUA'


GREP -Fi "C:\Windows\system32\userinit.exe" Userinit00 || (SWREG ADD "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "C:\Windows\system32\userinit.exe," )
Userinit REG_SZ C:\Windows\system32\userinit.exe,

CALL LANG.bat

Failed to get data for 'EnableLUA'

Aktive Codepage: 1252.
040C

SET SfxCmd | SED -r "/SfxCmd=/I!d; s///; s/^(\x22[^\x22]*\x22|[^\x22][^ ]*) +//; s/^([^\x22][^ ]*)/@SET SfxCmd=\x22\1\x22/; s/^(\x22.*)/@SET SfxCmd=\1/" 1>sfx.cmd

CALL sfx.cmd

CALL AV.cmd

SET /a AVCount+=1

CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs

GREP -Fiv "{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}" resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "/\{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46\}/Id; s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix a détecté que le(s) scanneur(s) en temps réel suivant(s)~nest(sont) actif(s):~n~n%G~n~nOn sait que les antivirus et les programmes de prévention d'intrusion~nperturbent le travail de ComboFix. Ceci peut aboutir à des résultats~nimprévisibles ou à d'éventuels dégâts pour la machine.~n~nVeuillez les désactiver avant de cliquer sur 'OK'." "Attention !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLe(s) scanneur(s) en temps réel ci-dessus est(sont) toujours actif(s) mais~nComboFix va continuer à s'exécuter. Veuillez noter que c'est à vos~nrisques et périls" "Attention !!" ""
)
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 18:03
1/
Désactive l'UAC :
• Va dans Panneau de Configuration puis Comptes d'Utilisateurs.
• Clique sur "Activer" ou "désactiver" le contrôle des comptes utilisateurs.
• Décoche la case "Utiliser le contrôle des comptes utilisateurs pour vous aider à protéger votre ordinateur".
• Clique sur OK pour enregistrer la modification et redémarre ton PC lorsque cela t'est demandé.

aide en cas de problèmes
Vu que t'es sur un Windows allemand, ça devrait t'aider.

-On va te demander de redémarrer ton pc fais le.



2/
Si ce n'est pas déjà fait:
Désactive Avast --> Clic droit sur la boule qui tourne à côté de l"heure et clique sur désactiver la protection résidente.




3/
Quand ton pc a redémarré.

* Rend toi sur ce site

* Au milieu de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla".

*Tu atterris sur une autre page, clique en bas de la page à droite sur "Descargar Elibagla 12.73"

* Enregistre ce fichier sur le Bureau.

* Ensuite double-clique sur Elibagla pour l'installer

* L'application se lance, vérifie que la case "Eliminar ficheros Automaticamente" est cochée
et clique sur la case "Explorar"

* laisse-le travailler

*Si des fenêtres s'ouvrent te disant "acceso denegado a la carpeta" durant le scan : Clique sur OK.

*Elibagla t'avertira quand le scan sera terminé, s'il t'est demandé de redémarrer ton pc fais le.

*Sinon, clique sur "Salir".

*Après le redémarrage du pc (s'il y'en a eu un), poste moi le contenu du rapport qui se trouvera ici: C:/Infosat.txt





Si tu as des questions, n'hésite pas...
0
Réponse 34 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 17:21
Voila je tes mi le fichier bug


32788R22FWJFW\PEV.exe uzip "32788R22FWJFW\License\pv_5_2_2.zip" "32788R22FWJFW\License" && MOVE /Y "32788R22FWJFW\License\pv.exe" 32788R22FWJFW\
Das System hat keinen Meldungstext für die Meldungsnummer 0x236e in der Meldungsdatei Application gefunden.

32788R22FWJFW\pv.exe -kf n.com
Killing 'n.com'
pv: Access to '"C:\32788R22FWJFW\n.com" cmdwait 2500 exec hide "~$folder.system$\cmd.execf" /c 32788R22FWJFW\prep.cmd' is denied.

MOVE /Y 32788R22FWJFW\pv.exe 32788R22FWJFW\pv.cfexe
Das System hat keinen Meldungstext für die Meldungsnummer 0x236e in der Meldungsdatei Application gefunden.

32788R22FWJFW\pv.cfexe -kf n.com
Killing 'n.com'
pv: No matching processes found

PUSHD "C:\32788R22FWJFW"

IF NOT EXIST pev.cfexe COPY /Y pev.exe pev.cfexe
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

IF NOT EXIST Nircmd.com COPY /Y n.com Nircmd.com
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

SET "Comspec=C:\Windows\system32\cmd.execf"

IF NOT EXIST C:\Windows\system32\cmd.exe GOTO Not_NT

IF EXIST OsVer EXIT

VER 1>OsVer

GREP.cfexe -F "5.2." OsVer

IF 1 == 0 GOTO Not_NT

GREP.cfexe -F "5.1.2" OsVer

IF 1 == 0 GOTO NT

GREP.cfexe -F "5.00.2" OsVer

IF 1 == 0 GOTO NT

GREP.cfexe -sq "currentversion.* 6.0" OsVer00 && GOTO NT

GREP.cfexe -isq "ProductType.*WinNT" WinNT00 || GOTO Not_NT

SED.CFEXE "/^PATH=/I!d; s///; s/\x22//g" Oripath 1>OriPath00

PEV.EXE -rtf -s+901 .\OriPath00 && (
SED.CFEXE -r "s/\x22//g; s/(.{900}).*/\1/; s/;[^;]*$//" OriPath00 1>OriPath01
FOR /F "TOKENS=*" %G IN (OriPath01) DO @SET "PATH=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;%G"
)

IF NOT EXIST OriPath01 FOR /F "TOKENS=*" %G IN (OriPath00) DO SET "PATH=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;%G"

SET "PATH=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\hp\bin\Python;C:\Program Files\QuickTime\QTSystem\"
Killing 'runonce.exe'
Killing 'grpconv.exe'
Killing 'procmon.exe'
pv: No matching processes found

PEV -rtf --c:##5# .\* and { License.exe or 32788R22FWJFW.exe or OsVer.exe or WinNT.exe or N_.exe } 1>temp00 && (
PV -o%f * 1>temp01
PEV -tf -t!o --files:temp01 --c:##5#b#f# 1>temp02
FINDSTR -BIG:temp00 temp02 1>temp03
SED "/.* /!d; s///" temp03 1>temp04
SED ":a; $!N; s/\n/\x22 \x22/; ta; s/.*/\x22&\x22/" temp04 1>temp05
FOR /F "TOKENS=*" %G IN (temp05) DO @NIRCMD KILLPROCESS %G
)

CALL :MDCheck
Das System hat keinen Meldungstext für die Meldungsnummer 0x40002712 in der Meldungsdatei Application gefunden.

PEV -rtf -md57A310C55B8051F702794B0E9C4830066 .\md5sum.pif || CALL :MDFaiL ChkSum_Fail
.\md5sum.pif

PEV -tf --files:files.pif --c:##5#b#f# 1>mdCheck00.dat

GREP -vs "^!MD5:" mdCheck00.dat | GREP -Fvf md5sum.pif 1>mdCheck01.dat && CALL :MDFaiL

GOTO :EOF

=============================================

ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\tohami\AppData\Roaming
CFLDR=32788R22FWJFW
Chksum=7A310C55B8051F702794B0E9C4830066
CLASSPATH=.;C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=PAPA-PC
ComSpec=C:\Windows\system32\cmd.execf
DFSTRACINGON=FALSE
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\tohami
KMD=CF21552.exe
LOCALAPPDATA=C:\Users\tohami\AppData\Local
LOGONSERVER=\\PAPA-PC
MSWorksProductCode={3B160861-7250-451E-B5EE-8B92BF30A710}
NUMBER_OF_PROCESSORS=2
OnlineServices=Online Services
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\hp\bin\Python;C:\Program Files\QuickTime\QTSystem\
PATHEXT=.CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PCBRAND=Presario
Platform=HPD
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=6b02
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
PROMPT=$
PUBLIC=C:\Users\Public
Qrntn=C:\Qoobox\Quarantine
QTJAVA=C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
RKEY_=hklm\software\microsoft\windows nt\currentversion\windows
sfxcmd="C:\Users\tohami\Downloads\ComboFix(8).exe"
sfxname=C:\Users\tohami\Downloads\ComboFix(8).exe
SYSTEM=C:\Windows\system32
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\tohami\AppData\Local\Temp
TMP=C:\Users\tohami\AppData\Local\Temp
TRACE_FORMAT_SEARCH_PATH=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
USERDOMAIN=Papa-PC
USERNAME=tohami
USERPROFILE=C:\Users\tohami
windir=C:\Windows

=============================================


IF NOT DEFINED sfxname GOTO END

GREP -F \ temp01 && CALL :Aux

ATTRIB.EXE +R "C:\Users\tohami\Downloads\ComboFix(8).exe"

Failed to get data for 'EnableLUA'


GREP -Fi "C:\Windows\system32\userinit.exe" Userinit00 || (SWREG ADD "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "C:\Windows\system32\userinit.exe," )
Userinit REG_SZ C:\Windows\system32\userinit.exe,

CALL LANG.bat

Failed to get data for 'EnableLUA'

Aktive Codepage: 1252.
040C

SET SfxCmd | SED -r "/SfxCmd=/I!d; s///; s/^(\x22[^\x22]*\x22|[^\x22][^ ]*) +//; s/^([^\x22][^ ]*)/@SET SfxCmd=\x22\1\x22/; s/^(\x22.*)/@SET SfxCmd=\1/" 1>sfx.cmd

CALL sfx.cmd

CALL AV.cmd

SET /a AVCount+=1

CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs

GREP -Fiv "{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}" resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "/\{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46\}/Id; s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix a détecté que le(s) scanneur(s) en temps réel suivant(s)~nest(sont) actif(s):~n~n%G~n~nOn sait que les antivirus et les programmes de prévention d'intrusion~nperturbent le travail de ComboFix. Ceci peut aboutir à des résultats~nimprévisibles ou à d'éventuels dégâts pour la machine.~n~nVeuillez les désactiver avant de cliquer sur 'OK'." "Attention !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLe(s) scanneur(s) en temps réel ci-dessus est(sont) toujours actif(s) mais~nComboFix va continuer à s'exécuter. Veuillez noter que c'est à vos~nrisques et périls" "Attention !!" ""
)

DEL /A/F/Q AVChk?

SET AVCount=

IF EXIST OsVer00 CALL :Vista

REN OsVer00 Vista.mac

IF NOT DEFINED RKEY_ GOTO :EOF

IF /I "" EQU "RKEYB" GOTO RKEYB

COPY /Y /B C:\Windows\system32\sc.exe C:\Windows\system32\swsc.exe
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

HANDLE csrss.exe.mui 1>MUI00

SED -r "/.*(.:\\.*)\\[^\\]*$/!d; s//\1/" MUI00 | SED -r -n "G; s/\n/&&/; /^([ -~]*\n).*\n\1/d; s/\n//; h; P" 1>MUI

FOR /F "TOKENS=*" %G IN (MUI) DO (
IF EXIST "%~G\sc.exe.mui" COPY /Y /B "%~G\sc.exe.mui" "%~G\swsc.exe.mui"
IF EXIST "%~G\cmd.exe.mui" (
SWXCACLS "%~G\cmd.exe.mui" /OA /Q
SWXCACLS "%~G\cmd.exe.mui" /P /GA:F /GS:F /GP:X /GU:X /Q
COPY /Y "%~G\cmd.exe.mui" "%~G\CF21552.exe.mui"
SWXCACLS "%~G\cmd.exe.mui" /g SID#S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464:f /GA:X /GS:X /GP:X /GU:X /Q
SWXCACLS "%~G\cmd.exe.mui" /o SID#S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /Q
)
)

(
IF EXIST "C:\Windows\System32\de-DE\sc.exe.mui" COPY /Y /B "C:\Windows\System32\de-DE\sc.exe.mui" "C:\Windows\System32\de-DE\swsc.exe.mui"
IF EXIST "C:\Windows\System32\de-DE\cmd.exe.mui" (
SWXCACLS "C:\Windows\System32\de-DE\cmd.exe.mui" /OA /Q
SWXCACLS "C:\Windows\System32\de-DE\cmd.exe.mui" /P /GA:F /GS:F /GP:X /GU:X /Q
COPY /Y "C:\Windows\System32\de-DE\cmd.exe.mui" "C:\Windows\System32\de-DE\CF21552.exe.mui"
SWXCACLS "C:\Windows\System32\de-DE\cmd.exe.mui" /g SID#S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464:f /GA:X /GS:X /GP:X /GU:X /Q
SWXCACLS "C:\Windows\System32\de-DE\cmd.exe.mui" /o SID#S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /Q
)
)
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.
SteelWerX Extended Configuration Access Control Lists
Written by Bobbi Flekman 2006 (C)
Ownerchange for "C:\Windows\System32\de-DE\cmd.exe.mui" to Administrators group was successful
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

DEL /A/F/Q MUI0?

GOTO :EOF

GREP -Fx "REGEDIT4" Fin.dat || (
ECHO.1>"C:\Users\tohami\AppData\Local\Temp\tdsstdss"
PEV -rtf "C:\Users\tohami\AppData\Local\Temp\tdsstdss" || (
ECHO.1>wtf_tdssserv
CALL c.bat
GOTO END
)

GOTO AbortD
)
REGEDIT4

IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort

IF EXIST "C:\Users\tohami\AppData\Local\Temp\32788R22FWJFW32788R22FWJFW.log" DEL /A/F "C:\Users\tohami\AppData\Local\Temp\32788R22FWJFW32788R22FWJFW.log"

COPY /Y /B "C:\Windows\system32\cmd.execf" "C:\Windows\system32\CF21552.exe"
Das System hat keinen Meldungstext für die Meldungsnummer 0x2336 in der Meldungsdatei Application gefunden.

SET "COMSPEC=C:\Windows\system32\CF21552.exe"

FOR /F "TOKENS=*" %G IN ("C:\Users\tohami\Downloads\ComboFix(8).exe") DO (
SET "FileName=%~NG"
SET "FilePath=%~DPG"
)

(
SET "FileName=ComboFix(8)"
SET "FilePath=C:\Users\tohami\Downloads\"
)

SET FileName 1>FileName

GREP -ix "FileName=[-[:alnum:]@.]*" FileName || GOTO AbortB

DEL /A/F/Q DirName0?
Das System hat keinen Meldungstext für die Meldungsnummer 0x40002712 in der Meldungsdatei Application gefunden.

Failed to get data for 'EnableLUA'


CALL n.com INFOBOX "Vous ne pouvez pas renommer ComboFix en %FileName%~n~nVeuillez choisir un autre nom, de préférence composé de caractères alphanumériques" ""

GOTO END

IF EXIST "C:\Windows\system32\cmd.execf" MOVE /Y "C:\Windows\system32\cmd.execf" "C:\Users\tohami\AppData\Local\Temp"
Das System hat keinen Meldungstext für die Meldungsnummer 0x236e in der Meldungsdatei Application gefunden.

CD ..

IF DEFINED cfldr RD /S/Q "32788R22FWJFW"
Das System hat keinen Meldungstext für die Meldungsnummer 0x3 in der Meldungsdatei System gefunden.
0
Réponse 35 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
27 juin 2009 à 18:54
D'accord, merci beaucoup si tu ve on continue demain car je suis plus chez mon pere

escuse moi
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
27 juin 2009 à 19:05
si tu veux on continue demain

Sans souci. C'est gentil de t'excuser pour les débuts "difficiles" qu'on a eus.^^

J'attends que tu effectues ceci et que tu me postes ton rapport.

Passe une bonne fin de journée.
@+
0
Réponse 36 / 38
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
29 juin 2009 à 06:25
Hello,

Je viens aux nouvelles.

Est-ce que tu t'en sors?
Est-ce que tu veux essayer différemment?
0
Réponse 37 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
29 juin 2009 à 22:54
Salut,

Je voulais te dire on peut arreter car mon pere va ramener l'ordi chez un t-echnicier pour qui le remete a zero et qui se transforme en francais et en meme temp le virus va se barer donc

je te remrercie enormement de ton aide et ccourage pour me supporter ^^

merci enormement

juste un petit truc bagle ba bien partir apres remise a zero pc ??
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
29 juin 2009 à 23:45
juste un petit truc bagle va bien partir après remise a zéro du pc ?


Comme tu m'as dit que tu n'avais pas clé USB ou autres, oui , Bagle sera bien éliminé et ne reviendra pas.

Je pense que concernant le fait que ton pc soit en allemand, ton père a pris la bonne décision de le faire réinstaller par un technicien.

Si tu le souhaites, après réinstallation de Windows par le technicien tu pourras repasser ici, afin qu'on configure ensemble ton pc pour tu puisses l'utiliser en toute sécurité.

Je pourrais te conseiller quelques logiciels utiles et gratuits qui une fois convenablement configurés amélioreront les performances et la sécurité de ton pc.

Voici déjà quelques trucs:

*Utilise Firefox plutôt qu'Internet explorer pour surfer car il est plus sécurisé.
Conserve Internet explorer, il est utile pour faire les mises à jour Windows.

Tu peux y rajouter ces deux extensions afin de te garantir un surf sain et sans pubs:

1/ Wot

2/ Adblock est expliqué ici, tu peux t'arrêter à cet écran au niveau de la configuration, car l'abonnement français te sera proposé et c'est celui-là que tu sélectionneras.
Le terme français "abonnement" faisant souvent référence à une somme à payer de manière régulière, je préfère te rassurer en t'indiquant qu'il ne s'agit aucunement de ce genre d'abonnements. :)

Il faut savoir que liens publicitaires génèrent fréquemment des infections, de plus, tes pages web scalpées de leurs pubs, s'afficheront plus vite.

*Tenir certains logiciels à jour
Ton pc sera par la suite moins sensible aux infections dues aux failles de sécurité non corrigées des précédentes éditions .

*Si tu "gères" tout ce qui est indiqué ici, tu peux avoir l'esprit tranquille.

*Concernant le téléchargement: à lire absolument dans ton cas.^^


Au plaisir et merci d'être repassé.
0
Réponse 38 / 38
bulbiflore Messages postés 47 Date d'inscription samedi 27 juin 2009 Statut Membre Dernière intervention 6 novembre 2009 1
30 juin 2009 à 22:50
D'accord merci beaucoup d'avoir pri du temp pour m'aider

je te remercie baucoup

je vais suivre tes conseil pour la securiter de mon PC


merci beaucoup


a+
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
1 juil. 2009 à 06:20
Je t'en prie.

Au plaisir...
0

Discussions similaires

worm bagle
manu2531 -
Utilisateur anonyme -

30 réponses
Infécté par virus Bagle
cadum87 -
cadum87 -

2 réponses
porbleme avec ma gamecube
no-life -
ilyes 16 -

7 réponses
Porblème dossier minecraft
Jundge -
Jundge -

5 réponses
porbleme TROJAN.WIN32.SEPEH
flayer -
MisteryBean -

1 réponse