Salut !
Ne pas oublier de décrire le plus précisément possible les dysfonctionnements que rencontre votre PC au fur et à mesure des interventions !
IMPORTANT : Ne désactive pas la restauration système, tant que le pc n'est pas propre.

Télécharge ELIBAGLA (de MSC HotlineSat)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Clique sur le bouton Descargar Elibagla 10.60
( tout en bas de la page au dessus de Tamaño Descargados Licencia Web 44,51 Kb.)
Pour télécharger le fichier sur le bureau.
Double-clique sur EliBaglA.exe.
Dans le cartouche Unidad, tu dois voir C:\

L'option en bas de la fenêtre "Eliminar Ficheros Automaticamente" doit être cochée.
Clique sur le bouton "Explorar" pour lancer l'analyse.

http://i18.servimg.com/u/f18/11/05/93/83/elibag10.jpg
---------------------------------------------------------------------------------------------------------------------
Ensuite :
Télécharge HIJACKTHIS en cliquant sur ce lien
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

IMPERATIF ! Avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!
---------------------------------------------------------------------------------

j'ai besoin des rapports suivants :
Elibagla > c:\infosat.txt et celui d'Hijackthis.

to be continued..........

(00)
_llll_ The Punisher is watching ................... !!!

Bonjour,

Tout d'abord merci de ta réponse.
J'ai voulu lancer hijackthis mais ça n'a pas été possible: il me dit que hijackthis n'est pas une application win32 valide. (Il me dit la même chose quand je veux lancer avast, spybot ou ccleaner).
Par contre voici le rapport elibagla:


Tue Jan 29 14:27:01 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Tue Jan 29 14:27:32 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7937
Nº Total de Ficheros: 82980
Nº de Ficheros Analizados: 9346
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Tue Jan 29 14:37:58 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Et je me depeche avant que mon pc s'éteigne à nouveau!

Merci beaucoup

Essaye d'instaler un antivirus maintenant stp...

Télécharge Avira antivir PersonalEdition Classic a partir de ce lien :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir sur ton bureau.

Installe, paramètre et mets a jour Antivir
tuto : http://www.malekal.com/tutorial_antivir.html
Double clique sur son set up sur ton bureau pour lancer l’installation.
Une fois l'installation terminée, reconnecte toi a internet

Effectue sa mise a jour puis fais un scan complet et poste le resultat en reponse.

si tu reussi, fais moi un Hijackthis comme demandé plus haut.
Peux-tu envoyer ces fichiers :
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.92
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.92
A cette adressse :
virus@satinfo.es
@ suivre.........

(00)
_llll_ The Punisher is watching ................... !!!

Bonjour,

J'ai installé antivir mais quand je le lance, j'ai toujours le même message: ce n'est pas une application win32 valide.
Je commence à craindre de devoir reformater et j'aimerais vraiment éviter...
As tu une autre solution?
Merci beaucoup de m'aider.

Bonjour g!rly,

J'ai essayé de lancer combofix mais rien ne se passe et je ne peux même pas le supprimer. L'application ne répond pas.

@+

Re,

fais ceci :

click sur demarrer puis executer dans la case de dialogue ecrit ceci : Combofix /u et valide par ok (respect les espaces)

il doit alors se supprimer...

recommence eliblaga mais en mode sans echec cette fois ci :

Lance-le, en mode sans échec si tu en as la possibilité. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

***Ne pas rebooter en passant par msconfig.

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/...
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil

Re,

Alors, déjà, il n'a pas retrouvé Combofix, malgré la manip sur "executer".

D'autre part, depuis que j'ai ce virus, je ne peux plus démarrer en mode sans echec... Donc impossible d'essayer de passer les scans.
N'existe t il pas des solutions qui ne necessitent pas de télécharger un programme? J'ai par contre accès à internet sans problème et mon pc ne se redémarre plus tout seul, ce qui est déjà une bonne chose. Peut être que je peux faire passer un antivirus en ligne spécifique? (j'ai déjà fait passer bitdefender mais sans résultats).
Merci.

Re,

je voie le probleme...

le probleme est que eliblaga n´arrive pas a supprimer les drivers responssable de cette incapacité de redemarrer en mode sans echec, c´est pour cela que je t´ai proposé combofix qui lui aurait reussi...

on peut essayer comme ceci :

Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe


-> Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".

Copie la ligne ci dessous :

C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

-> Sur PocketKillBox --> menu "File" --> "Paste from Clipboard"

Tu peux vérifier dans le menu déroulant que le fichier est bien présent.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- click sur le bouton "All files"
- click ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

Après redémarrage, relance Killbox puis clic sur l'onglet "fichier" -> Log -> Actions History Log
Poste le rapport ici

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil

Re,

j'ai juste une petite question avant de lancer killbox: il n'est pas possible de cocher la case "Unregister dll before deleting". C'est important?
Merci

Re,

bon, fais le sans.

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil

Re,

Voici le rapport:

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 7:32 PM

Killbox Closed(Exit) @ 7:34:40 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:09 PM

Killbox Closed(Exit) @ 8:10:27 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:10 PM

Killbox Closed(Exit) @ 8:10:56 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:10 PM

Killbox Closed(Exit) @ 8:11:24 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:11 PM

Killbox Closed(Exit) @ 8:11:50 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:14 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\WINTEMS.EXE


# 2 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS


# 3 [Delete on Reboot]
Path = C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE


I Rebooted @ 8:15:45 PM
Killbox Closed(Exit) @ 8:15:47 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Compaq_Propriétaire(Administrator)
was started @ mercredi, janvier 30, 2008, 8:18 PM

Salut tomate,

peux tu refaire eliblaga stp et poster le resultat ici

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil

Salut,

voici le rapport elibagla:



Wed Jan 30 21:42:26 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Wed Jan 30 21:42:29 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7956
Nº Total de Ficheros: 83559
Nº de Ficheros Analizados: 9425
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Re,

Télécharge DiagHelp sur ton bureau:

http://www.malekal.com/download/DiagHelp.zip

# Décompresse l'archive sur ton bureau
# Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe
# Deux fenêtres vont s'ouvrir: dans celle qui est grise, va dans l'onglet "script"
# Copie-colle ce texte dans l'onglet "script":

files to kill:

C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

* Clique sur "run"
* Redémarre le PC
* Une fois redémarré, relance (pour la énième fois!) un scan EliBagla et poste le rapport.

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil

Re,

J'ai fait comme tu m'as dit mais quand je clique sur run, un message apparait: script command not found.
J'imagine que ce n'est pas ce qu'il faut....

Essaie comme ca : sans l´espace...

files to kill:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil

Voici le rapport elibagla:

Wed Jan 30 23:53:48 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Wed Jan 30 23:54:22 2008
EliBagle v10.94 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\!KillBox\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle
C:\Program Files\PeerGuardian2\PG2.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\123343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\131609.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\134937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\144859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14844718.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14851015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29319031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\305421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\315921.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\376578.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\382203.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43218.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43788171.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\43791859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\44062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\44890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\45859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\47328.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\52437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\54156.EXE --> Eliminado Bagle

Nº Total de Directorios: 7985
Nº Total de Ficheros: 84113
Nº de Ficheros Analizados: 9488
Nº de Ficheros Infectados: 25
Nº de Ficheros Limpiados: 25

Ca a marché ;-)

post un hijack this stp

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

@+
Le meilleur moyen de faire tourner la tête à une femme, c'est de lui dire qu'elle a un joli profil