infection par bagle! impossible de supprimerRésolu/Fermé

Question

Bonjour, tout le monde.

Je vous demande par avance de m'excuser pour mon petit problème!Le problème le voila!

Suite à l'execusion d'un fichier plus que douteux, nous voila inféctés par un joli petit virus nommé bagle avec les symptomes suivant : perte du centre de sécurité windows et de l'antivirus (AVG, désinstallé depuis) perte de la carte wifi que j'ai recuperé depuis en modifiant les registres. Et enfin lorsque je demarre quelques programmes antivirales, j'ai une erreur windows spécifiant une erreur de vaidité win32!

J'ai essayé a peu pres toutes les solutions que j'ai pu trouvé sur les differents forum malheureusement sans succès!
J'ai d'abord désinstaller tout les logiciels "suspects" ainsi que les antivirus, spyware etc... j'ai tout bien nettoyé avec ccleaner, jai redemarré en mode sans echec et j'ai alors executé plusieurs programmes!
Tout d'abord, j'ai executé le programme anti bagle FXbeagle de symantec qui confirme effectivement que je suis infecté mais qui n'a pas l'air de faire grand chose.
Ensuite, même chose avec les antibagle de vitdefender et f-secure qui ne donnent pas grand chose
J'ai donc décidé de télécharger Hijackthis, Combofix et ElibaglA.
ElibaglA detecte et supprime le virus mais a chasue redemarrage, c'est la même chose, le programme de demarrage me bloque quelques programme comme "tray" ou "IAAntif" qui sont des exe setup mais j'ai aussi une erreur m'indiquant qu'il est impossible de lancer les systemes de sécurité!

Pouvez-vous m'aider a résoudre ce problème? Y-at-il un autre virus que bagle?
Je peux trnasmettre aussi les logs de hijackthis et combofix (qui trouve et met en quarantaine des fichiers vérolés)
Merci d'avance a tous!
bonne fin d'après-midi

green day · Answer

Salut

 oui, poste la hijack

++

Zone-swap · Answer

slt,
tien regarde sa:
http://www.secuser.com/alertes/2004/bagle.htm

et voici l'utilitaire qui va te permètre de le supprimé:
https://www.broadcom.com/support/security-center

FxBeagle ( 1,3Mo) : détecte et élimine notamment les virus Bagle.A, Bagle.B, Bagle.C, Bagle.E, Bagle.F, Bagle.G, Bagle.H, Bagle.I, Bagle.J, Bagle.K, Bagle.U, Bagle.W/X/Y/Z, Bagle.X/Y/Z/AA, Bagle.Y/AD, Bagle.Z/AE, Bagle.AB/AF, Bagle.AG/AI, Bagle.AO/AL, Bagle.AR/AS, Bagle.AT/AV, Bagle.AU/AW, Bagle.AX/AY, Bagle.AY/AZ et Bagle.BA.

@+

si tu a un doute sur un virus ou autre regarde sur http://www.sercuser.com

bibibubu2 · Answer

wahou impressionant! Tout d'abord, merci pour la rapidité de vos réponses
Alors en fait zone swap, j'ai deja utilisé ce petit logiciel de symantec pour le problème. A la fin du scan, il me dit que bagle a bien été détecté, pourtant je ne vois aucun changement...

Enfin bon , je vous poste le rapport de Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:30, on 01/02/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\config\systemprofile\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

green day · Answer

ok, on ve refaire ceci :

Télécharge ELIBAGLA en bas de cette page:
==> http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Lance Elibagla en double cliquant dessus.
assure toi que le bouton "Eliminar Ficheros Automaticamente" soit coché.
Vérifie que C:\ soit sélectionné dans Unidad (ou la partition contenant ton OS).
Clique sur le bouton Explorar.
à la fin poste le rapport C:\infoSat.txt 

++

bibibubu2 · Answer

voila ce que donne le rapport!

sachant qu'il y a des choses qui se sont passées!
A savoir, acces refusé a C:\windows\registration\CRMlog(16) et C:\windows\system32\com\dmp(16)


	  Fri Feb 01 18:12:51 2008
EliBagle v10.95  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.95
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Fri Feb 01 18:13:05 2008
EliBagle v10.95  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11236
Nº Total de Ficheros:      76484
Nº de Ficheros Analizados: 12695
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

j'ai envoyé ce que l'on me demande a l adresse demandée! on verra bien ce que ca donne!
++

green day · Answer

très bien ! merci de l'avoir fait ! ;-)

on continue ! supprime la version de combo que tu as !



Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

fais un clic droit et renomme le : Combo-Fix.exe.

* Démarrer en mode sans echec 
* Double cliquer Combo-Fix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan 
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp 

++

bibibubu2 · Answer

Voila qui est fait! ComboFix 08-02.01.6 - SYSTEM 2008-02-01 18:45:56.1 - NTFSx86 MINIMAL Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1709 [GMT 1:00] Endroit: C:\Windows\system32\config\systemprofile\Desktop\Combo-Fix.exe..exe . Incapable d'obtenir les privilèges Système (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Windows\system32\koos.exe C:\Windows\system32\kprof C:\Windows\system32\poof C:\PROGRA~2\Microsoft\Network\Downloader\qmgr0.dat C:\PROGRA~2\Microsoft\Network\Downloader\qmgr1.dat C:\Windows\system32\drivers\down C:\Windows\system32\drivers\down\104489.exe C:\Windows\system32\drivers\down\119496.exe C:\Windows\system32\drivers\down\123178.exe C:\Windows\system32\drivers\down\129480.exe C:\Windows\system32\drivers\down\133365.exe C:\Windows\system32\drivers\down\141898.exe C:\Windows\system32\drivers\down\143583.exe C:\Windows\system32\drivers\down\146110.exe C:\Windows\system32\drivers\down\164409.exe C:\Windows\system32\drivers\down\166063.exe C:\Windows\system32\drivers\down\169557.exe C:\Windows\system32\drivers\down\172084.exe C:\Windows\system32\drivers\down\178543.exe C:\Windows\system32\drivers\down\180040.exe C:\Windows\system32\drivers\down\182911.exe C:\Windows\system32\drivers\down\185781.exe C:\Windows\system32\drivers\down\207153.exe C:\Windows\system32\drivers\down\208058.exe C:\Windows\system32\drivers\down\210226.exe C:\Windows\system32\drivers\down\213424.exe C:\Windows\system32\drivers\down\218401.exe C:\Windows\system32\drivers\down\223206.exe C:\Windows\system32\drivers\down\225827.exe C:\Windows\system32\drivers\down\235249.exe C:\Windows\system32\drivers\down\241115.exe C:\Windows\system32\drivers\down\246996.exe C:\Windows\system32\drivers\down\266902.exe C:\Windows\system32\drivers\down\267448.exe C:\Windows\system32\drivers\down\272346.exe C:\Windows\system32\drivers\down\274733.exe C:\Windows\system32\drivers\down\279600.exe C:\Windows\system32\drivers\down\281831.exe C:\Windows\system32\drivers\down\290037.exe C:\Windows\system32\drivers\down\316136.exe C:\Windows\system32\drivers\down\317337.exe C:\Windows\system32\drivers\down\320254.exe C:\Windows\system32\drivers\down\321970.exe C:\Windows\system32\drivers\down\44585.exe C:\Windows\system32\drivers\down\70652.exe C:\Windows\system32\drivers\down\72852.exe C:\Windows\system32\drivers\down\76986.exe C:\Windows\system32\drivers\down\92726.exe C:\Windows\system32\drivers\down\99045.exe C:\Windows\system32\drivers\hldrrr.exe C:\Windows\system32\drivers\srosa.sys C:\Windows\system32\mdelk.exe C:\Windows\system32\wintems.exe ----- BITS: Possible sites infectés ----- hxxp://epg.tvdownload.microsoft.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_SROSA -------\srosa ((((((((((((((((((((((((((((( Fichiers créés 2008-01-01 to 2008-02-01 )))))))))))))))))))))))))))))))))))) . 2008-02-01 18:12 . 2008-02-01 18:12 d-------- C:\Muestras 2008-02-01 17:44 . 2008-02-01 17:44 317,123,600 --a------ C:\Windows\MEMORY.DMP 2008-02-01 16:16 . 2008-02-01 16:16 d-------- C:\Windows\System32\config\SYSTEM~1\AppData\Roaming\Lavasoft 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fbb-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000002.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fbb-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000001.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fb1-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000002.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fb1-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000001.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 65,536 --ahs---- C: tuser.dat{89b19fbb-d0d5-11dc-b2d1-b8816e12dce9}.TM.blf 2008-02-01 16:01 . 2008-02-01 16:01 65,536 --ahs---- C: tuser.dat{89b19fb1-d0d5-11dc-b2d1-b8816e12dce9}.TM.blf 2008-02-01 14:06 . 2008-02-01 14:06 d-------- C:\Windows\Avira 2008-02-01 14:06 . 2008-02-01 14:06 d-------- C:\Program Files\Avira 2008-02-01 12:45 . 2008-02-01 12:45 d-------- C:\Program Files\Lavasoft 2008-02-01 12:45 . 2008-02-01 12:45 d-------- C:\Microsoft 2008-02-01 12:32 . 2008-02-01 12:32 d-------- C:\Users\All Users\Avg7 2008-02-01 12:32 . 2008-02-01 12:32 d-------- C:\PROGRA~2\Avg7 2008-01-31 22:12 . 2008-01-31 22:12 d-------- C:\Program Files\CCleaner 2008-01-31 19:58 . 2008-02-01 12:31 d-------- C:\Program Files\Sony Ericsson 2008-01-31 18:28 . 2008-02-01 16:01 262,144 --a------ C: tuser.dat 2008-01-31 18:28 . 2008-02-01 16:01 5,120 --ah----- C: tuser.dat.LOG1 2008-01-31 18:28 . 2008-02-01 16:01 0 --ah----- C: tuser.dat.LOG2 2008-01-31 17:45 . 2007-11-05 10:51 69,632 --a------ C:\Windows\System32\itechPrn.exe 2008-01-23 18:12 . 2008-01-23 18:12 dr-h----- C:\$VAULT$.AVG 2008-01-22 20:38 . 2008-01-22 20:38 9,216 --a------ C:\Windows\System32\avgwlntf.dll 2008-01-22 20:37 . 2008-01-22 20:37 55,304 --a------ C:\Windows\System32\drivers\avgwfp.sys 2008-01-22 20:26 . 2008-02-01 12:32 d-------- C:\Users\All Users\Grisoft 2008-01-22 20:26 . 2008-02-01 12:32 d-------- C:\PROGRA~2\Grisoft 2008-01-22 20:26 . 2007-05-30 13:10 10,872 --a------ C:\Windows\System32\drivers\AvgAsCln.sys 2008-01-22 18:34 . 2008-01-22 18:34 d-------- C:\Windows\System32\config\SYSTEM~1\AppData\Roaming\AVG7 2008-01-20 23:08 . 2008-01-21 18:44 887 --a------ C:\Windows\cPVAS.INI 2008-01-20 15:30 . 2008-01-20 15:30 327 --a------ C:\mkv.bat 2008-01-19 16:14 . 2008-01-21 21:07 d-------- C:\Program Files\AllToAVI 2008-01-19 15:37 . 2008-01-19 15:37 d-------- C:\Program Files\ImTOO 2008-01-19 12:13 . 2008-01-19 12:13 37,473 --a------ C:\Windows\System32\muzika.xm 2008-01-19 01:36 . 2008-01-19 01:36 72,192 --a------ C:\Windows\cadkasdeinst01e.exe 2008-01-18 21:39 . 2008-01-18 21:54 d-------- C:\Program Files\MKVtoolnix 2008-01-17 13:55 . 2008-02-01 17:38 d-------- C:\Application Data 2008-01-16 18:43 . 2008-02-01 15:25 157 --a------ C:\Windows\matlab.ini 2008-01-15 20:20 . 2008-01-15 20:20 39 --a------ C:\Windows\vbaddin.ini 2008-01-13 12:15 . 2008-01-13 12:15 d-------- C:\Program Files\FileZilla FTP Client 2008-01-09 18:07 . 2008-01-09 18:07 804,352 --a------ C:\Windows\System32\drivers cpip.sys 2008-01-09 18:07 . 2008-01-09 18:07 217,272 --a------ C:\Windows\System32\drivers etio.sys 2008-01-09 18:07 . 2008-01-09 18:07 167,424 --a------ C:\Windows\System32 cpipcfg.dll 2008-01-09 18:07 . 2008-01-09 18:07 24,064 --a------ C:\Windows\System32 etcfg.exe 2008-01-09 18:07 . 2008-01-09 18:07 22,016 --a------ C:\Windows\System32 etiougc.exe 2008-01-09 18:05 . 2008-01-09 18:05 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll 2008-01-09 18:05 . 2008-01-09 18:05 1,686,016 --a------ C:\Windows\System32\gameux.dll 2008-01-09 18:05 . 2008-01-09 18:05 11,776 --a------ C:\Windows\System32\sbunattend.exe 2008-01-07 19:11 . 2008-01-07 19:11 d-------- C:\Program Files\JkDefrag 2008-01-07 19:11 . 2007-09-25 17:34 241,664 --a------ C:\Windows\System32\JkDefragScreenSaver.exe 2008-01-07 19:11 . 2007-09-25 17:34 106,496 --a------ C:\Windows\System32\JkDefragScreenSaver.scr 2008-01-07 17:17 . 2008-01-11 12:58 d-------- C:\Program Files\emule 2008-01-07 17:15 . 2008-01-07 17:31 d-------- C:\Users\All Users\eMule 2008-01-07 17:15 . 2008-01-07 17:31 d-------- C:\PROGRA~2\eMule 2008-01-06 16:00 . 2008-01-21 16:04 380 --a------ C:\Windows\vw.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 16:43 --------- d-----w C:\Program Files\Ripp-it_AM 2008-01-24 12:15 --------- d-----w C:\Program Files\Windows Defender 2008-01-09 22:53 --------- d-----w C:\Program Files\Windows Sidebar 2008-01-09 22:53 --------- d-----w C:\Program Files\Windows Mail 2008-01-09 17:05 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-01-09 17:05 449,024 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-01-09 17:05 2,143,744 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-01-09 17:05 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-01-07 19:49 --------- d-----w C:\Program Files\Google 2008-01-06 15:17 --------- d-----w C:\Program Files\AviSynth 2.5 2007-12-20 11:41 --------- d-----w C:\Program Files\BatchDPG 2007-12-20 10:35 --------- d-----w C:\Program Files\utorrent 2007-12-19 11:18 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-18 21:34 --------- d-----w C:\PROGRA~2\Messenger Plus! 2007-12-18 19:31 --------- d-----w C:\PROGRA~2\Maxtor 2007-12-15 12:52 --------- d-----w C:\Program Files\Microsoft.NET 2007-12-13 20:16 --------- d-----w C:\Program Files\On2 Technologies 2007-12-13 20:16 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-12-13 20:16 --------- d-----w C:\Program Files\AC3Filter 2007-12-13 20:15 --------- d-----w C:\Program Files\Real Alternative 2007-12-13 20:14 --------- d-----w C:\Program Files\Xvid 2007-12-13 20:14 --------- d-----w C:\Program Files\x264 2007-12-13 20:13 --------- d-----w C:\Program Files\QuickTime Alternative 2007-12-13 20:13 --------- d-----w C:\Program Files\DivX 2007-12-13 20:13 --------- d-----w C:\PROGRA~2\Apple Computer 2007-12-13 20:11 --------- d-----w C:\Program Files\DVD Shrink 2007-12-13 20:11 --------- d-----w C:\PROGRA~2\DVD Shrink 2007-12-13 20:08 --------- d-----w C:\Program Files\VideoLAN 2007-12-13 20:07 --------- d-----w C:\Program Files\URUSoft 2007-12-13 20:06 --------- d-----w C:\Program Files\Ripp-It Codec Pack 2007-12-13 20:05 --------- d-----w C:\Program Files\iTunes 2007-12-13 20:04 --------- d-----w C:\Program Files\PowerISO 2007-12-13 20:04 --------- d-----w C:\Program Files\iPod 2007-12-13 20:02 --------- d-----w C:\Program Files\VirtualDub 2007-12-13 20:02 --------- d-----w C:\Program Files\7-Zip 2007-12-13 20:01 --------- d-----w C:\Program Files\VirtualDubMOD 2007-12-13 19:51 --------- d-----w C:\Program Files\MyPhoneExplorer 2007-12-13 19:49 --------- d-----w C:\Program Files\Messenger Plus! Live 2007-12-13 19:47 --------- d-----w C:\Program Files\Windows Live 2007-12-13 19:40 --------- d-----w C:\Program Files\VistaCodecPack 2007-12-13 19:39 --------- d-----w C:\Program Files\Satsuki Decoder Pack 2007-12-13 19:39 --------- d-----w C:\Program Files\illiminable 2007-12-13 19:35 --------- d-----w C:\PROGRA~2\WLInstaller 2007-12-13 19:21 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys 2007-12-13 19:21 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys 2007-12-13 19:21 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2007-12-13 19:21 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys 2007-12-13 19:21 102,400 ----a-w C:\Windows\system32\drivers\mrxsmb.sys 2007-12-10 16:50 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-10 16:42 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller 2007-12-10 15:36 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2007-12-10 15:32 --------- d-----w C:\Program Files\Microsoft Works 2007-12-10 15:26 --------- d-----w C:\PROGRA~2\Microsoft Help 2007-12-10 15:11 --------- d-----w C:\Program Files\CyberLink 2007-12-10 14:09 --------- d-sh--w C:\Program Files\Fichiers communs 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Modèles 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Menu Démarrer 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Favoris 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Bureau 2007-11-28 17:40 174 --sha-w C:\Program Files\desktop.ini 2007-11-02 21:08 2,923,520 ----a-w C:\Windows\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 18:05 1232896] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-02 21:05 1006264] "IgfxTray"="C:\Windows\system32\igfxtray.exe" [2007-06-06 10:52 142104] "HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2007-06-06 10:52 154392] "Persistence"="C:\Windows\system32\igfxpers.exe" [2007-06-06 10:52 138008] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2004-09-15 07:01 661077] "IaNvSrv"="C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-07-24 17:02 33304] "SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 13:40 102400] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 20:46 153136] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-02 15:24 257088] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-01 18:16 249896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\avgwlntf] avgwlntf.dll 2008-01-22 20:38 9216 C:\Windows\System32\avgwlntf.dll R0 iaNvStor;Intel(R) Turbo Memory Controller;C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-07-09 12:28] R0 Si3531;SiI-3531 SATA Controller;C:\Windows\system32\DRIVERS\Si3531.sys [2007-06-01 09:29] R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 10:52] R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2007-05-31 09:51] R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;C:\Windows\system32\drivers\IntcHdmi.sys [2007-03-26 08:18] R3 NETw4v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits;C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-02-25 05:14] R3 RTSTOR;USB Mass Storage Device;C:\Windows\system32\drivers\RTSTOR.SYS [2007-08-29 21:22] R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-08-15 00:22] S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] S3 AvgWFP;AVG7 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfp.sys [2008-01-22 20:37] S3 Cam5607;BisonCam;C:\Windows\system32\Drivers\BisonC07.sys [2007-10-05 15:24] S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\Windows\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16] S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\Windows\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17] S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\Windows\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17] S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\Windows\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18] S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\Windows\system32\DRIVERS\se2End5.sys [2006-05-01 13:15] S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\Windows\system32\DRIVERS\SE2Eobex.sys [2006-05-01 13:18] S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\Windows\system32\DRIVERS\se2Eunic.sys [2006-05-01 13:15] S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers vrd32.sys [2007-07-02 16:37] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-01 18:49:05 Windows 6.0.6000 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe C:\Windows\system32\WUDFHost.exe C:\Windows\system32\conime.exe C:\Windows\system32\PresentationSettings.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\System32\igfxtray.exe C:\Windows\System32\hkcmd.exe C:\Windows\system32\DllHost.exe C:\Windows\System32\igfxpers.exe C:\Program Files\Synaptics\SynTP\SynTPStart.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe . ************************************************************************** . Temps d'accomplissement: 2008-02-01 18:50:04 - machine was rebooted [antoine] ComboFix-quarantined-files.txt 2008-02-01 17:50:00 . 2008-01-30 17:06:39 --- E O F ---

green day · Answer

on continue :

Télécharge SDFix sur ton bureau 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
Redémarre ton ordinateur en mode sans échec 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! 

++

bibibubu2 · Answer

arf la fenetre d'invite de commande du programme apparait mais disparait aussitôt!
pas de demande d'appuyer sur Y!
Ca vient peut etre de vista ou alors du script...

green day · Answer

Salut

 tout à fait, ça vient de vista !

solution : 

# Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
# Aller dans démarrer puis panneau de configuration
# Double Cliquer sur l'icône "Comptes d'utilisateurs"
# Cliquer ensuite sur désactiver et valider.
# Démarrer en mode sans echec
# Faire un clic-droit sur SDFix.exe présent sur le bureau et choisir Exécuter en tant qu'administrateur 
et fais la suite ==> en  mode sans echec toujours !

++

bibibubu2 · Answer

Bon bin même avec le contrôle des comptes utilisateurs désactivé y'a pas moyen!
que faire?

green day · Answer

même avec le clic droit : executer en tant qu'admin ??

++

Zone-swap · Answer

http://www.commentcamarche.net/faq/sujet 2731 virus kit de desinfection pour eradiquer w32 beagle mm bagle

bibibubu2 · Answer

bon alors quelques news!
Deja pas moyen d'executer le script de sdfix meme en tant qu'admin!
J'ai l'impression qu'a chaque demarrage, ca se remet automatiquement!
En revenche j'ai télécharger la nouvelle version de ElibalgA (10.96). Ils ont du mettre a jour avec ce que je leur avait envoyé. J'ai executé le programme en mode sans echec qui a aussitot trouvé et éradiqué 12 sources bagle différentes! (y compris la quarantaine de combo-fix)

Pourtant lorsque je redemarre vista normalement, toujours le même problème bien que plus aucun programme n'est bloqué au démarrage (comme le fameux "tray ou autre)!
Je poste le log, je commence a me demander si j'ai vraiment eliminé la source de depart srtout dans un dossier nommé "RecInfo" (cf log)!

  Sat Feb 02 12:52:24 2008
EliBagle v10.96  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.95 --> Eliminado Bagle.dldr
C:\Program Files\Hotkey Utility\TRAY.EXE --> Eliminado Bagle.dldr
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANOTIF.EXE --> Eliminado Bagle.dldr
C:\QooBox\Quarantine\C\Windows\System32\MDELK.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\WINTEMS.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\drivers\HLDRRR.EXE.VIR --> Eliminado Bagle.dldr
C:\QooBox\Quarantine\C\Windows\System32\drivers\SROSA.SYS.VIR --> Eliminado Bagle (rootkit)
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\235249.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\44585.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\72852.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\drivers\down\99045.EXE.VIR --> Eliminado Bagle
C:\RecInfo\RECINFO.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   11284
Nº Total de Ficheros:      76777
Nº de Ficheros Analizados: 12759
Nº de Ficheros Infectados: 12
Nº de Ficheros Limpiados:  12

green day · Answer

très bien, refais un scan avec combo ( précédemment renommé ! ) et poste le stp


++

magma23 · Answer

s'il vous plait aidez moi je suis magma 23 et personne viens m'aider
je suis desepérer

merci d'avance

green day · Answer

Le Sioux t'a pris en charge, merci de bien vouloir patienter !

bibibubu2 · Answer

Voila ce que ca donne pour ce nouveau scan! merci encore pour ton aide green day, c'est vraiment sympa de ta part! Et bon courage a Magma23 pour son problème ComboFix 08-02.01.6 - SYSTEM 2008-02-02 13:22:57.1 - NTFSx86 MINIMAL Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1718 [GMT 1:00] Endroit: C:\Windows\system32\config\systemprofile\Desktop\Combo-Fix.exe..exe . Incapable d'obtenir les privilèges Système (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Windows\system32\koos.exe C:\Windows\system32\kprof C:\Windows\system32\poof C:\Windows\system32\drivers\down . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_SROSA ((((((((((((((((((((((((((((( Fichiers créés 2008-01-02 to 2008-02-02 )))))))))))))))))))))))))))))))))))) . 2008-02-01 17:44 . 2008-02-01 17:44 317,123,600 --a------ C:\Windows\MEMORY.DMP 2008-02-01 16:16 . 2008-02-01 16:16 d-------- C:\Windows\System32\config\SYSTEM~1\AppData\Roaming\Lavasoft 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fbb-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000002.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fbb-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000001.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fb1-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000002.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 524,288 --ahs---- C: tuser.dat{89b19fb1-d0d5-11dc-b2d1-b8816e12dce9}.TMContainer00000000000000000001.regtrans-ms 2008-02-01 16:01 . 2008-02-01 16:01 65,536 --ahs---- C: tuser.dat{89b19fbb-d0d5-11dc-b2d1-b8816e12dce9}.TM.blf 2008-02-01 16:01 . 2008-02-01 16:01 65,536 --ahs---- C: tuser.dat{89b19fb1-d0d5-11dc-b2d1-b8816e12dce9}.TM.blf 2008-02-01 14:06 . 2008-02-01 14:06 d-------- C:\Windows\Avira 2008-02-01 14:06 . 2008-02-01 14:06 d-------- C:\Program Files\Avira 2008-02-01 12:45 . 2008-02-01 12:45 d-------- C:\Program Files\Lavasoft 2008-02-01 12:45 . 2008-02-01 12:45 d-------- C:\Microsoft 2008-02-01 12:32 . 2008-02-01 12:32 d-------- C:\Users\All Users\Avg7 2008-02-01 12:32 . 2008-02-01 12:32 d-------- C:\PROGRA~2\Avg7 2008-01-31 22:12 . 2008-01-31 22:12 d-------- C:\Program Files\CCleaner 2008-01-31 19:58 . 2008-02-01 12:31 d-------- C:\Program Files\Sony Ericsson 2008-01-31 18:28 . 2008-02-01 16:01 262,144 --a------ C: tuser.dat 2008-01-31 18:28 . 2008-02-01 16:01 5,120 --ah----- C: tuser.dat.LOG1 2008-01-31 18:28 . 2008-02-01 16:01 0 --ah----- C: tuser.dat.LOG2 2008-01-31 17:45 . 2007-11-05 10:51 69,632 --a------ C:\Windows\System32\itechPrn.exe 2008-01-23 18:12 . 2008-01-23 18:12 dr-h----- C:\$VAULT$.AVG 2008-01-22 20:38 . 2008-01-22 20:38 9,216 --a------ C:\Windows\System32\avgwlntf.dll 2008-01-22 20:37 . 2008-01-22 20:37 55,304 --a------ C:\Windows\System32\drivers\avgwfp.sys 2008-01-22 20:26 . 2008-02-01 12:32 d-------- C:\Users\All Users\Grisoft 2008-01-22 20:26 . 2008-02-01 12:32 d-------- C:\PROGRA~2\Grisoft 2008-01-22 20:26 . 2007-05-30 13:10 10,872 --a------ C:\Windows\System32\drivers\AvgAsCln.sys 2008-01-22 18:34 . 2008-01-22 18:34 d-------- C:\Windows\System32\config\SYSTEM~1\AppData\Roaming\AVG7 2008-01-20 23:08 . 2008-01-21 18:44 887 --a------ C:\Windows\cPVAS.INI 2008-01-20 15:30 . 2008-01-20 15:30 327 --a------ C:\mkv.bat 2008-01-19 16:14 . 2008-01-21 21:07 d-------- C:\Program Files\AllToAVI 2008-01-19 15:37 . 2008-01-19 15:37 d-------- C:\Program Files\ImTOO 2008-01-19 12:13 . 2008-01-19 12:13 37,473 --a------ C:\Windows\System32\muzika.xm 2008-01-19 01:36 . 2008-01-19 01:36 72,192 --a------ C:\Windows\cadkasdeinst01e.exe 2008-01-18 21:39 . 2008-01-18 21:54 d-------- C:\Program Files\MKVtoolnix 2008-01-17 13:55 . 2008-02-01 17:38 d-------- C:\Application Data 2008-01-16 18:43 . 2008-02-01 15:25 157 --a------ C:\Windows\matlab.ini 2008-01-15 20:20 . 2008-01-15 20:20 39 --a------ C:\Windows\vbaddin.ini 2008-01-13 12:15 . 2008-01-13 12:15 d-------- C:\Program Files\FileZilla FTP Client 2008-01-09 18:07 . 2008-01-09 18:07 804,352 --a------ C:\Windows\System32\drivers cpip.sys 2008-01-09 18:07 . 2008-01-09 18:07 217,272 --a------ C:\Windows\System32\drivers etio.sys 2008-01-09 18:07 . 2008-01-09 18:07 167,424 --a------ C:\Windows\System32 cpipcfg.dll 2008-01-09 18:07 . 2008-01-09 18:07 24,064 --a------ C:\Windows\System32 etcfg.exe 2008-01-09 18:07 . 2008-01-09 18:07 22,016 --a------ C:\Windows\System32 etiougc.exe 2008-01-09 18:05 . 2008-01-09 18:05 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll 2008-01-09 18:05 . 2008-01-09 18:05 1,686,016 --a------ C:\Windows\System32\gameux.dll 2008-01-09 18:05 . 2008-01-09 18:05 11,776 --a------ C:\Windows\System32\sbunattend.exe 2008-01-07 19:11 . 2008-01-07 19:11 d-------- C:\Program Files\JkDefrag 2008-01-07 19:11 . 2007-09-25 17:34 241,664 --a------ C:\Windows\System32\JkDefragScreenSaver.exe 2008-01-07 19:11 . 2007-09-25 17:34 106,496 --a------ C:\Windows\System32\JkDefragScreenSaver.scr 2008-01-07 17:17 . 2008-01-11 12:58 d-------- C:\Program Files\emule 2008-01-07 17:15 . 2008-01-07 17:31 d-------- C:\Users\All Users\eMule 2008-01-07 17:15 . 2008-01-07 17:31 d-------- C:\PROGRA~2\eMule 2008-01-06 16:00 . 2008-01-21 16:04 380 --a------ C:\Windows\vw.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-02 11:52 --------- d-----w C:\Program Files\Hotkey Utility 2008-01-29 16:43 --------- d-----w C:\Program Files\Ripp-it_AM 2008-01-24 12:15 --------- d-----w C:\Program Files\Windows Defender 2008-01-09 22:53 --------- d-----w C:\Program Files\Windows Sidebar 2008-01-09 22:53 --------- d-----w C:\Program Files\Windows Mail 2008-01-09 17:05 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-01-09 17:05 449,024 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-01-09 17:05 2,143,744 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-01-09 17:05 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-01-07 19:49 --------- d-----w C:\Program Files\Google 2008-01-06 15:17 --------- d-----w C:\Program Files\AviSynth 2.5 2007-12-20 11:41 --------- d-----w C:\Program Files\BatchDPG 2007-12-20 10:35 --------- d-----w C:\Program Files\utorrent 2007-12-19 11:18 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-18 21:34 --------- d-----w C:\PROGRA~2\Messenger Plus! 2007-12-18 19:31 --------- d-----w C:\PROGRA~2\Maxtor 2007-12-15 12:52 --------- d-----w C:\Program Files\Microsoft.NET 2007-12-13 20:16 21,764 ----a-w C:\Windows\System32\CoreAAC-uninstall.exe 2007-12-13 20:16 --------- d-----w C:\Program Files\On2 Technologies 2007-12-13 20:16 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-12-13 20:16 --------- d-----w C:\Program Files\AC3Filter 2007-12-13 20:15 --------- d-----w C:\Program Files\Real Alternative 2007-12-13 20:14 599,570 ----a-w C:\Windows\System32\x264vfw.dll 2007-12-13 20:14 --------- d-----w C:\Program Files\Xvid 2007-12-13 20:14 --------- d-----w C:\Program Files\x264 2007-12-13 20:13 --------- d-----w C:\Program Files\QuickTime Alternative 2007-12-13 20:13 --------- d-----w C:\Program Files\DivX 2007-12-13 20:13 --------- d-----w C:\PROGRA~2\Apple Computer 2007-12-13 20:11 --------- d-----w C:\Program Files\DVD Shrink 2007-12-13 20:11 --------- d-----w C:\PROGRA~2\DVD Shrink 2007-12-13 20:08 --------- d-----w C:\Program Files\VideoLAN 2007-12-13 20:07 --------- d-----w C:\Program Files\URUSoft 2007-12-13 20:06 --------- d-----w C:\Program Files\Ripp-It Codec Pack 2007-12-13 20:05 --------- d-----w C:\Program Files\iTunes 2007-12-13 20:04 --------- d-----w C:\Program Files\PowerISO 2007-12-13 20:04 --------- d-----w C:\Program Files\iPod 2007-12-13 20:02 --------- d-----w C:\Program Files\VirtualDub 2007-12-13 20:02 --------- d-----w C:\Program Files\7-Zip 2007-12-13 20:01 --------- d-----w C:\Program Files\VirtualDubMOD 2007-12-13 19:51 --------- d-----w C:\Program Files\MyPhoneExplorer 2007-12-13 19:49 --------- d-----w C:\Program Files\Messenger Plus! Live 2007-12-13 19:47 --------- d-----w C:\Program Files\Windows Live 2007-12-13 19:40 --------- d-----w C:\Program Files\VistaCodecPack 2007-12-13 19:39 --------- d-----w C:\Program Files\Satsuki Decoder Pack 2007-12-13 19:39 --------- d-----w C:\Program Files\illiminable 2007-12-13 19:35 --------- d-----w C:\PROGRA~2\WLInstaller 2007-12-13 19:23 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL 2007-12-13 19:23 223,232 ----a-w C:\Windows\System32\WMASF.DLL 2007-12-13 19:23 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2007-12-13 19:21 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys 2007-12-13 19:21 824,832 ----a-w C:\Windows\System32\wininet.dll 2007-12-13 19:21 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys 2007-12-13 19:21 56,320 ----a-w C:\Windows\System32\iesetup.dll 2007-12-13 19:21 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2007-12-13 19:21 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2007-12-13 19:21 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys 2007-12-13 19:21 102,400 ----a-w C:\Windows\system32\drivers\mrxsmb.sys 2007-12-13 19:19 3,505,848 ----a-w C:\Windows\System32 tkrnlpa.exe 2007-12-13 19:19 3,472,056 ----a-w C:\Windows\System32 toskrnl.exe 2007-12-10 16:50 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-10 16:42 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller 2007-12-10 15:36 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2007-12-10 15:32 --------- d-----w C:\Program Files\Microsoft Works 2007-12-10 15:26 --------- d-----w C:\PROGRA~2\Microsoft Help 2007-12-10 15:11 --------- d-----w C:\Program Files\CyberLink 2007-12-10 14:22 80,896 ----a-w C:\Windows\System32\wudriver.dll 2007-12-10 14:22 549,720 ----a-w C:\Windows\System32\wuapi.dll 2007-12-10 14:22 53,080 ----a-w C:\Windows\System32\wuauclt.exe 2007-12-10 14:22 43,352 ----a-w C:\Windows\System32\wups2.dll 2007-12-10 14:22 33,624 ----a-w C:\Windows\System32\wups.dll 2007-12-10 14:22 31,232 ----a-w C:\Windows\System32\wuapp.exe 2007-12-10 14:22 163,000 ----a-w C:\Windows\System32\wuwebv.dll 2007-12-10 14:22 1,712,984 ----a-w C:\Windows\System32\wuaueng.dll 2007-12-10 14:22 1,524,224 ----a-w C:\Windows\System32\wucltux.dll 2007-12-10 14:09 --------- d-sh--w C:\Program Files\Fichiers communs 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Modèles 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Menu Démarrer 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Favoris 2007-12-10 14:09 --------- d-sh--w C:\PROGRA~2\Bureau 2007-12-04 01:33 823,296 ----a-w C:\Windows\System32\divx_xx0c.dll 2007-12-04 01:33 823,296 ----a-w C:\Windows\System32\divx_xx07.dll 2007-12-04 01:33 802,816 ----a-w C:\Windows\System32\divx_xx11.dll 2007-12-04 01:33 682,496 ----a-w C:\Windows\System32\DivX.dll 2007-11-29 22:30 524,288 ----a-w C:\Windows\System32\DivXsm.exe 2007-11-29 22:30 3,596,288 ----a-w C:\Windows\System32\qt-dx331.dll 2007-11-29 22:30 200,704 ----a-w C:\Windows\System32\ssldivx.dll 2007-11-29 22:30 1,044,480 ----a-w C:\Windows\System32\libdivx.dll 2007-11-29 22:28 81,920 ----a-w C:\Windows\System32\dpl100.dll 2007-11-29 22:28 196,608 ----a-w C:\Windows\System32\dtu100.dll 2007-11-28 21:55 156,992 ----a-w C:\Windows\System32\DivXCodecVersionChecker.exe 2007-11-28 21:53 593,920 ----a-w C:\Windows\System32\dpuGUI11.dll 2007-11-28 21:53 57,344 ----a-w C:\Windows\System32\dpv11.dll 2007-11-28 21:53 53,248 ----a-w C:\Windows\System32\dpuGUI10.dll 2007-11-28 21:53 344,064 ----a-w C:\Windows\System32\dpus11.dll 2007-11-28 21:53 294,912 ----a-w C:\Windows\System32\dpu11.dll 2007-11-28 21:53 294,912 ----a-w C:\Windows\System32\dpu10.dll 2007-11-28 21:52 12,288 ----a-w C:\Windows\System32\DivXWMPExtType.dll 2007-11-28 17:40 174 --sha-w C:\Program Files\desktop.ini 2007-11-02 21:17 8,704 ----a-w C:\Windows\System32\hcrstco.dll 2007-11-02 21:17 8,704 ----a-w C:\Windows\System32\hccoin.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 18:05 1232896] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-02 21:05 1006264] "IgfxTray"="C:\Windows\system32\igfxtray.exe" [2007-06-06 10:52 142104] "HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2007-06-06 10:52 154392] "Persistence"="C:\Windows\system32\igfxpers.exe" [2007-06-06 10:52 138008] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [ ] "IaNvSrv"="C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-07-24 17:02 33304] "SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 13:40 102400] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 20:46 153136] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-02 15:24 257088] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-01 18:16 249896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\avgwlntf] avgwlntf.dll 2008-01-22 20:38 9216 C:\Windows\System32\avgwlntf.dll R0 iaNvStor;Intel(R) Turbo Memory Controller;C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-07-09 12:28] R0 Si3531;SiI-3531 SATA Controller;C:\Windows\system32\DRIVERS\Si3531.sys [2007-06-01 09:29] R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 10:52] R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2007-05-31 09:51] R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;C:\Windows\system32\drivers\IntcHdmi.sys [2007-03-26 08:18] R3 NETw4v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits;C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-02-25 05:14] R3 RTSTOR;USB Mass Storage Device;C:\Windows\system32\drivers\RTSTOR.SYS [2007-08-29 21:22] R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-08-15 00:22] S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] S3 AvgWFP;AVG7 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfp.sys [2008-01-22 20:37] S3 Cam5607;BisonCam;C:\Windows\system32\Drivers\BisonC07.sys [2007-10-05 15:24] S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\Windows\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16] S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\Windows\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17] S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\Windows\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17] S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\Windows\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18] S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\Windows\system32\DRIVERS\se2End5.sys [2006-05-01 13:15] S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\Windows\system32\DRIVERS\SE2Eobex.sys [2006-05-01 13:18] S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\Windows\system32\DRIVERS\se2Eunic.sys [2006-05-01 13:15] S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers vrd32.sys [2007-07-02 16:37] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-02 13:26:18 Windows 6.0.6000 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe C:\Windows\system32\WUDFHost.exe C:\Windows\system32\conime.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\System32\igfxtray.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Program Files\Synaptics\SynTP\SynTPStart.exe C:\Windows\system32\igfxsrvc.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\iPod\bin\iPodService.exe . ************************************************************************** . Temps d'accomplissement: 2008-02-02 13:27:33 - machine was rebooted [antoine] ComboFix-quarantined-files.txt 2008-02-02 12:27:27 ComboFix2.txt 2008-02-01 17:50:04 . 2008-01-30 17:06:39 --- E O F ---

green day · Answer

ok, petit nettoyage annexe, fais ceci stp :

http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection version fr

++

bibibubu2 · Answer

J'aurais voulu dire pas de nouvelles,bonne nouvelle mais ce n'est pas le cas!
toujours rien de significatif. Green day, j'ai suivi les indications sur la page que tu m'as donné mais rien n'y fait! AVG anti spyware a fait le tri mmais je n'ai pas trouvé un seul antivirus en ligne qui fonctionne avec vista pour le moment (panda, bitdefender ou kapersky)!
j'ai noté que sdfix demarre sous vista lorsque je demarre normalement mais il manque alors les droit d'admin. Mais lorsque je bascule en sans echec, pas moyen de le lancer!!
Bref au redemarrage de la machine, toujours le même problème. Chose curieuse, j'ai du yahoo toolbar qui s'est installé alors que je ne l'ai jamais utilisé....
bref je ne sais vraiment plus trop quoi faire!
merci de votre soutient!
++

green day · Answer

Il fallait poster le rapport d'avg !

élécharge CureIt : https://free.drweb.fr/?lng=fr 

Redémarre en mode sans échec. Pour cela, tapote sur F5 ou F8 au démarrage. 

* cliques sur l'icône cureit.exe du bureau et tu mets en quarantaine tout ce qui est éventuellement détecté. 
-Le scan fini, clique sur le bouton "Tout sélectionner" en bas et ensuite sur le bouton "Quarantaine" 
Seront analysés les objets suivants où se logent le plus souvent les virus: 
Mémoire vive 
Secteurs de démarrage de tous les disques 
Objets d'auto démarrage 
Répertoire racine du disque boot 
Répertoire racine du disque d'installation Windows 
Répertoire système Windows 
Dossier 'Mes documents' 
Répertoire système temporaire 
Répertoire d'utilisateur temporaire 
-Puis tu coches devant "Analyse complète" dans l'onglet "Analyse" et tu cliques sur la flèche verte sous le logo Dr.Web. 
-Le scan fini, clique sur le bouton "Tout sélectionner" en bas et ensuite sur le bouton "Quarantaine" 
-Clique sur Fichier et Enregistrer le rapport, choisis le bureau et sous DrWeb.txt à la place de .csv 
-Il n'est pas nécessaire de commander comme cela te sera proposé à la fin du scan. 
- referme et poste le rapport stp 

++

bibibubu2 · Answer

alors l'analyse de drWeb donne pas grand chose si ce n'est la quarantine de combofix et une appli de sdfix!
je poste quand meme le rapport
Process.exe	C:\Documents and Settings\antoine\Desktop\SDFix\apps	Tool.Prockill	
Process.exe	C:\Users\antoine\Desktop\SDFix\apps	Tool.Prockill	
Process.exe	C:\Windows\System32\config\systemprofile\Desktop\SDFix\apps	Tool.Prockill	
104489.exe.vir	C:\x86\QooBox\Quarantine\C\Windows\System32\drivers\down	Win32.HLLM.Beagle	Supprimé.
208058.exe.vir	C:\x86\QooBox\Quarantine\C\Windows\System32\drivers\down	Trojan.PWS.Nerf	Supprimé.


Il y'a quand même du mieux puisque windows defender remarche!
par contre le parfeu toujours pas et pour avira et les logiciels style combofix y a toujours cette fenetre *** n'est pas une application valide win32!

bref, voila ou j'en suis!
++

bibibubu2 · Answer

bon bin a force de persuasion et de scans sans cesse je crois bien que le problème est parti!
j'ai tout récuperé de windows defendeur au pare feu et a avira!
Tout a l'air de fonctionner correctement!
Je dois donc remercier très chaleureusement green day qui m'a guidé jusqu'a la résolution du problème!
Cependant avant de clore ce topic en aposant "résolu" il me reste un dernier petit problème!
C'est le contrôle des comptes utilisateurs qui fait des folies!
En fait je n'arrive pas a le desactiver!
pourtant lorsque je vais dans le panneau de configuration et que je vais dans activer/désactiver le controle, la case est decochée et pourtant le contrôle est toujours actif....
Si quelqu'un a une solution, je prends!
En tout cas, merci a toi green day, tu m'as retiré une grosse epine du pied!
++

green day · Answer

Salut

la case est decochée et pourtant le contrôle est toujours actif...

comment sait-tu qu'il est toujours actif ??

++

bibibubu2 · Answer

je le sais parceque j'ai toujours les fenetre pop up me demandant si je connais ou non tel ou tel programme par exemple "un programme non identifié veut acceder a votre ordinateur"....
Ce qui est bien une fenetre de controle de compte utilisateur!
Toujours pas trouvé de solutions....
+

green day · Answer

euh ! ça je pense que c'est normal ! :p

bibibubu2 · Answer

bin je pense pas, j ai toujours été admin de mon pc et en décochant la case controle du compte utilisateur je n'ai plus jamais eu ca donc étant donné qu'a chaque fois que je vais dans la fenetre de gestion de l'option la case est décochée je ne devrais pas avoir ca!

green day · Answer

maybe ?! je ne sais pas ! :/

bibibubu2 · Answer

bon bin tant pis, ce n'est pas si grave que ca!
Je vais clore le topic car au final, le problème est réglé!
Merci beaucoup a toi green day pour ton aide, j'espère que d'autres utilisateurs de CCM pourront trouver une solution grace a ca!
Bon courage a tous et merci encore!
++

green day · Answer

de nada ! :-)

 à lire à l'occasion : http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet

++

Infection par bagle! impossible de supprimer

30 réponses

Discussions similaires

Newsletters