Salut !
essayons de voir çà !
Ne pas oublier de décrire le plus précisément possible les dysfonctionnements que rencontre ton PC au fur et à mesure des interventions !
IMPORTANT : Ne désactive pas la restauration système, tant que le pc n'est pas propre.

Rends toi sur ce site : >>> ZonaVirus <<<
tout en bas de cette page tu trouveras un outil à télécharger,clique sur "escargar Elibagla"
(le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
laisse la case "eliminar ficheros automaticamente" cochée
clique sur"explorar"
laisse-le travailler
poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s)
(dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.
Dans 24 heures environ, sur le site, la version de déchargement
(v10.24 dans l'exemple) aura changé par rapport à celle actuelle.
Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.
------------------------------------------------------------------------------------------ -------------------
Ensuite :
Télécharge HIJACKTHIS en cliquant sur ce lien
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport !
Démo en image ici

Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

IMPERATIF ! Avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!
---------------------------------------------------------------------------------

j'ai besoin des rapports suivants :
Elibagla > c:\infosat.txt et celui d'Hijackthis.
(00)
_llll_ The Punisher is watching ................... !!!

Bonjour à tous
Simplement pour suivre ce sujet.
a+

Voilà comme demandé le rapport de Elibagla:

	  Sun Feb 17 14:40:21 2008
EliBagle v11.00  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.00
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.00
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Sun Feb 17 14:41:37 2008
EliBagle v11.00  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   16289
Nº Total de Ficheros:      204167
Nº de Ficheros Analizados: 19880
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

Imprime les instructions suivantes car il va y avoir un redémarrage de l'ordinateur

1) Redémarre en mode sans échec ! aide ici : http://forum.telecharger.01net.com/telecharger/virus_et_assi­miles/failles_de_(...)

2) Ouvre l'invite de commande : démarrage > programme > accessoire > invite de commande ou dans outils système > invite de commande
Tape les commandes suivantes successivement :

N.B : si tu as des messages d'erreur lors de la suppression de certains fichiers, ne pas s'inquiéter, cela signifie qu'ils ne sont pas présents sur ta machine. Attention de ne pas faire de faute de frappe !

del c:\windows\system32\drivers\srosa.sys > entrer : le fichier va s'effacer
puis
del c:\windows\system32\drivers\hldrrr.exe > entrer : le fichier va s'effacer
puis
del c:\windows\system32\wintems.exe > entrer : le fichier va s'effacer

3) Redémarre en mode normal , reessaye un scan HJT et dis-moi si ton antivirus remarche.

à+


(00)
_llll_ The Punisher is watching ................... !!!

Quand je veux lancer le mode sans échec mon ordinateur redémarre pareil pour le mode "Invite de commandes en mode sans échec".

Je ne sais plus quoi faire, mon ordinateur aurait vraiment besoin de conseils précieux parce que quand je lance le mode sans échec mon ordinateur redémarre au lieu de lancer le mode sans échec de Windows alors il doit y avoir eu des modifications dans mon ordinateur, des virus ou autres.

Ta technique ne marcherait-elle pas sans le mode sans échec en passant par le mode normal de Windows?

Merci d'avance.

Cordialement
Tankypon

Essaye en mode normal...
reessaye un scan HJT et dis-moi si ton antivirus remarche.

@+

(00)
_llll_ The Punisher is watching ................... !!!

Bonsoir,
je penser avoir un probleme différent mais en fait c'est exactement le même, il est présenter un peu différemment ici
http://www.commentcamarche.net/forum/affich 5072415 comportement suspect

Merci d'avance pour vos réponses

Salut yaf1 !
sur ce topic, je suis avec tankypon!!

Rien qu'avec une personne c'est déjà compliqué avec l'analyse de tous les logs, il serait préférable que tu crées ton propre " topic " (message personnel.)
Cela rendra le poste (ici) plus compréhensible, et nous pourrons traiter ton soucis avec plus d’efficacité.
Donc,fais comme expliqué ici, STP .

http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm

Si je peux, je te prendrais en charge là bas, auquel cas, quelqu'un d'autre te viendra en aide.

Merci.
(00)
_llll_ The Punisher is watching ................... !!!

Voilà j'ai fait une capture d'écran de ce que tu m'a demandé de faire car je pense que mon ordinateur n'a pas supprimé les fichiers et je voulais savoir s'y j'avais raison:
http://apu.mabul.org/up/apu/2008/02/18/img-134305ubvl1.jpg.h­tml

Ne devais-je pas attendre la nouvelle version de Elibagla car je lui ai envoyé mes deux fichiers qu'il me demandait comme ça Elibagla, il supprimera les fichiers que tu me demandes, non?

Salut !
Desolé pour le retard...

Regarde si ton AV est activé, si c'est le cas, désactive le le temps du scan eliblaga....

ça devrait le faire.

@+
(00)
_llll_ The Punisher is watching ................... !!!

Juste une question:
Que veut dire AV? Anti-virus?

Cordialement
Tankypon

Désolé oui c'est bien l'anti-virus, je l'ai désactivée et j'ai lancé l'analyse Elibagla voilà le rapport:

	  Tue Feb 19 11:31:38 2008
EliBagle v11.01  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Tue Feb 19 11:32:11 2008
EliBagle v11.01  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\IM\Identities\{20C4BABC-BF3B-4622-A088-0627B8E81236}\Message Store\Attachments\HLDRRR.EXE.MUESTRA ELIBAGLE V11.00 --> Eliminado Bagle.dldr
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\IM\Identities\{20C4BABC-BF3B-4622-A088-0627B8E81236}\Message Store\Attachments\SROSA.SYS.MUESTRA ELIBAGLE V11.00 --> Eliminado Bagle (rootkit)
C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V11.00 --> Eliminado Bagle.dldr
C:\Muestras\SROSA.SYS.MUESTRA ELIBAGLE V11.00 --> Eliminado Bagle (rootkit)
C:\Program Files\HP\Digital Imaging\bin\BACKUPNOTIFY.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\14875390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\175687.EXE --> Eliminado Bagle

Nº Total de Directorios:   16214
Nº Total de Ficheros:      199278
Nº de Ficheros Analizados: 19884
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados:  7

Salut !

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Ceux là sont toujours aussi coriaces... on change de procedure.

Télécharge ComboFix (par sUBs) <<< ici
- Enregistre-le sur le bureau sous le nom Antibagle (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré; ce serait trop tard.
- déconnecte-toi d'Internet et ferme toutes tes applications.
- désactive tes protections (antivirus, parefeu, résident et bouclier)
- double-clique sur combofix.exe et suis les instructions.
Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme.
- à la fin, il va produire un rapport C:\ComboFix.txt que tu va me poster ici en réponse.

@ suivre...
(00)
_llll_ The Punisher is watching ................... !!!

Mon anti-virus remarche après avoir supprimée les 7 virus pour qu'il remarche l'ordinateur a redémarrez après j'ai essayé ComboFix mais j'ai eu droit au message d'erreur habituelle ComboFix.exe n'est pas une application Win32 valide pareil pour HijackThis.
Donc aucun des deux logiciels remarche sauf mon anti-virus.

Donc il me faudrait un logiciel similaire à ComboFix, est-ce que OtmoveIt ne fait pas pareil?

Merci j'apprécie que tu prête ton temps pour m'aider à résoudre mon problème!

@+

Re !

on peux essayer OTMoveIT, mais je ne pense pas qu'il en vienne a bout !

Ce sont de nouvelles variantes de Bagle dures a erradiquer...

on y arrive, mais j'avoue il faut etre patient...

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous, ( en gras )

C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Un rapport sera enregistré dans C:\\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
EN CAS DE DOUTE REGARDE ce TUTO

@+
(00)
_llll_ The Punisher is watching ................... !!!

Voilà le rapport que tu m'a demandé de OtmoveIt:

File/Folder C:\WINDOWS\SYSTEM32\WINTEMS.EXE not found.
File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS not found.
File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE not found.
 
OTMoveIt2 v1.0.20 log created on 02192008_192640

Voilà, comme tu peux le voir " not found. !!

Je regarde dans mes bibles, et reviens dans pas longtemps...
(00)
_llll_ The Punisher is watching ................... !!!

Voilà mon anti-virus marche(protection résidente, bouclier réseau) sauf que quand je veux le lancé il me dit sachant que j'ai Avast comme message d'erreur:
ashAvast.exe n'est pas une application Win32 valide

Donc les protestions marchent mais l'anti-virus, lui, quand je le lance ne marche pas, est-ce normale?

Non, je ne pense pas !
il faudrait être sur que Combofix ait bien été renommé et ce, dès la boîte de dialogue "Enregistrer" après avoir cliqué sur le lien, sinon une fois l'exe sur le bureau, c'est déjà mort...

reessaye Combofix stp !
Télécharge ComboFix (par sUBs) <<< ici
- Enregistre-le sur le bureau sous le nom Antibagle (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré; ce serait trop tard.
- déconnecte-toi d'Internet et ferme toutes tes applications.
- désactive tes protections (antivirus, parefeu, résident et bouclier)
- double-clique sur combofix.exe et suis les instructions.
Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme.
- à la fin, il va produire un rapport C:\ComboFix.txt que tu va me poster ici en réponse.

@ suivre...
(00)
_llll_ The Punisher is watching ................... !!!