Virus BAGLE, le retour !Résolu/Fermé

Question

Bonjour,
Je suis dans une impasse....
Je vous explique : j'ai été infecté par un virus bagle nouvelle génération (paraît-il). En effet, lorsque je lance n'importe quel antivirus, j'ai un message d'erreur "C:\... est une application Win32 invalide". J'ai utilisé tous les logiciels avec un suffixe -fix imaginables (ComboFix, VundoFix....) et aussi la dernière version à jour de Elibagla. Lors d'un scan de Elibagla, mon ordi se mettait à redémarrer tout seul après une page d'erreur toute bleue (trop rapide pour que je puisse lire quelque chose) ou même à me proposer de cracker une application (fenêtre "select a file to crack" qui n'apparaît plus maintenant que j'ai suivi les conseils "copiés" de sasuke91). Je n'ai donc pas eu accès à un journal d'erreur.

Pour info, j'ai désinstallé le programme cracké de mon ordi et supprimé tous les fichiers qui vont avec comme indiqué.
Bref, avec toutes ces manoeuvres (j'ajoute à ça des scans de Spybot(*) et de Bit Defender 2008(*) -version non-enregistrée-, AVG(*) et compagnie...), j'ai éradiqué pas mal de ces petites s****eries. Mais il en reste toujours ! Pour preuve : j'ai laissé avast! installé dans le dossier Program Files du lecteur C:\ et je l'ai réinstallé dans un nouveau dossier dans C:\ directement.
Avast! s'est remis à fonctionner : pas de message d'erreur concernant une application Win32 invalide. Tout content, je veux faire un scan mais le logiciel n'a pas de mise à jour de la base de donnée virale assez récente et impossible de l'actualiser, bien sûr. Donc il sert un peu à rien. J'ai pu aussi constaté que mon ordi a beaucoup de mal à exécuter une tâche : pour l'ouverture d'un dossier, il me faut en moyenne, 4min chrono en main.

Je suis sur le point d'envoyer mon ordi chez un informaticien pour régler les problèmes. 
Mais j'aurai aimé pouvoir réussir tout seul, ou plutôt accompagné des brillants membres de CCM !

Voilà, aidez-moi s'il vous plaît !


PS : Les logiciels avec une (*) ont été réinstallés dans un nouveau dossier directement dans C:\ pour que le virus ne les bloque pas (je les ai aussi renommé) et que je puisse quand même les utiliser...

fiat500 · Answer

bonjour et bienvenu

http://pon.fr/dr-web-cure-it-kit-de-desinfection-gratuit/

royalscalp · Answer

Y a pas une autre solution, lol, tu proposes la même pour un autre topic !

fiat500 · Answer

dr web cure it est très utile pour supprimer les virus beagle
et puis tu na pas d'autres solution plus rien e marche sur ton pc!!

Utilisateur anonyme · Answer

Salut ,,



&#8594; Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

&#8594; Double clique sur ToolsCleaner2.exe >
&#8594; Clique sur .Recherche
&#8594; puis sur Suppression quand la liste est trouvée.
&#8594; Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )
 
Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

************************************************************

/!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne comptétente /!\


Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK] 


Télécharge ComboFix ici &#8594; http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

RENOMME LE , tutorial ici  , une fois renommé 

enregistre le sur le bureau >>> /!\ IMPORTANT /!\

Regardes ici, si tu souhaites te familiariser avec son utilisation: https://www.google.fr/?gws_rd=ssl

 AVANT d'utiliser ComboFix :
&#8594; Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.   /!\
&#8594; Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.

/!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\

Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).

En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.

(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK] 

Tutorial ( aide ): 

http://bibou0007.com/outils-specifiques-f78/tutorial-combofix-t121.htm

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix




bonne chance
A+++

Utilisateur anonyme · Answer

Je re surement ce soir moi.
A++

royalscalp · Answer

Je fais quoi alors avec ça ?
Et le log "Dr Web Cure It", je l'utilise ?


Merci de me répondre !

fiat500 · Answer

pour le log de dr web cure it non c'est pas grave mais supprime bien les fichier qu'il a trouvait

je dois m'absenter a+ a demain a+
bonne soirée a tous

Utilisateur anonyme · Answer

Re ,

****************************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) 

File::  
C:\FOUND.031
C:\FOUND.030
C:\FOUND.028
C:\FOUND.027
C:\FOUND.026
C:\FOUND.025  
C:\WINDOWS\Tasks\A0819B3891A61980.job
C:\WINDOWS\Tasks\AE8ACC4491817C80.job
C:\WINDOWS\Tasks\A81CBA7B91873173.job
C:\WINDOWS\Tasks\A6EABE5991813679.job
C:\WINDOWS\Tasks\A83EFD869189746A.job
C:\WINDOWS\Tasks\B5D9D71491BA41F8.job
c:\progra~1\waitro~1\Name hold regs.exe
c:\docume~1\antoin~1\applic~1\waitro~1\Name hold regs.exe
c:\docume~1\romain~1\applic~1\waitro~1\Name hold regs.exe
c:\docume~1\la‰ti\applic~1\waitro~1\Name hold regs.exe

Folder::
C:\327882R2FWJFW 
C:\Documents and Settings\All Users\Application Data\TEMP\
C:\Hijack---This 
C:\Program Files\CleanUp! 

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ED7BA9B-F006-695F-DB6A-648F38716E96}] 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45144F3D-6DD8-6D07-8D53-7F69FCA4F65A}] 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LeechGet"=-


Driver::
SROSA 

Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

****************************************************


a++

royalscalp · Answer

Voilà le nouveau rapport ComboFix : ComboFix 08-05-29.1 - ANTOINE DA COSTA 2008-05-31 17:59:15.3 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.59 [GMT 2:00] Endroit: C:\Documents and Settings\ANTOINE DA COSTA\Bureau\Combo--Fix.exe Command switches used :: C:\Documents and Settings\ANTOINE DA COSTA\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: c:\docume~1\antoin~1\applic~1\waitro~1\Name hold regs.exe c:\docume~1\la‰ti\applic~1\waitro~1\Name hold regs.exe c:\docume~1\romain~1\applic~1\waitro~1\Name hold regs.exe C:\FOUND.025 C:\FOUND.026 C:\FOUND.027 C:\FOUND.028 C:\FOUND.030 C:\FOUND.031 c:\progra~1\waitro~1\Name hold regs.exe C:\WINDOWS\Tasks\A0819B3891A61980.job C:\WINDOWS\Tasks\A6EABE5991813679.job C:\WINDOWS\Tasks\A81CBA7B91873173.job C:\WINDOWS\Tasks\A83EFD869189746A.job C:\WINDOWS\Tasks\AE8ACC4491817C80.job C:\WINDOWS\Tasks\B5D9D71491BA41F8.job . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\327882R2FWJFW C:\327882R2FWJFW\nircmd.com C:\Documents and Settings\All Users\Application Data\TEMP\ C:\Documents and Settings\All Users\Application Data\TEMP\[u]0[/u]CE7F3C9.TMP C:\Hijack---This C:\Program Files\CleanUp! C:\Program Files\CleanUp!\CleanUp! Web Site.url C:\Program Files\CleanUp!\CleanUp.cnt C:\Program Files\CleanUp!\Cleanup.exe C:\Program Files\CleanUp!\CleanUp.hlp C:\Program Files\CleanUp!\license.txt C:\Program Files\CleanUp!\readme.txt C:\Program Files\CleanUp!\uninstall.exe C:\Program Files\CleanUp!\uninstall.ini C:\WINDOWS\Tasks\A0819B3891A61980.job C:\WINDOWS\Tasks\A6EABE5991813679.job C:\WINDOWS\Tasks\A81CBA7B91873173.job C:\WINDOWS\Tasks\A83EFD869189746A.job C:\WINDOWS\Tasks\AE8ACC4491817C80.job C:\WINDOWS\Tasks\B5D9D71491BA41F8.job . ((((((((((((((((((((((((((((( Fichiers créés 2008-04-28 to 2008-05-31 )))))))))))))))))))))))))))))))))))) . 2008-05-31 12:44 . 2008-05-31 12:44 d--hs---- C:\FOUND.031 2008-05-31 10:57 . 2008-05-31 10:57 d--hs---- C:\FOUND.030 2008-05-22 22:38 . 2008-05-22 22:38 d-------- C:\Program Files\GetData 2008-05-21 18:52 . 2008-05-21 18:52 d-------- C:\Documents and Settings\ANTOINE DA COSTA\Application Data\Grisoft 2008-05-21 18:43 . 2008-05-21 18:43 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-05-21 18:43 . 2008-05-21 18:43 d-------- C:\AVG Anti-Spyware 7.5 2008-05-21 18:43 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-05-21 18:35 . 2008-05-31 13:43 121 --a------ C:\WINDOWS\bdagent.INI 2008-05-21 18:32 . 2008-05-21 18:32 d-------- C:\Documents and Settings\ANTOINE DA COSTA\Application Data\BitDefender 2008-05-21 18:21 . 2008-05-21 18:21 d-------- C:\Program Files\BitDefender 2008-05-21 18:17 . 2008-05-21 18:17 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender 2008-05-21 18:17 . 2008-05-21 18:17 d-------- C:\BitDefender 2008-05-21 17:56 . 2008-05-21 17:56 d-------- C:\Program Files\Fichiers communs\BitDefender 2008-05-21 17:11 . 2008-05-21 17:11 d-------- C:\Spy----bot 2008-05-21 16:41 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-05-21 16:41 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-05-21 16:41 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-05-21 16:41 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-05-21 16:41 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-05-21 16:41 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-05-21 16:41 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-05-21 16:41 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-05-21 16:41 . 2008-05-21 16:41 1,446 --a------ C:\WINDOWS\system32\tmp.reg 2008-05-21 16:19 . 2008-05-21 16:19 d--hs---- C:\FOUND.029 2008-05-21 16:13 . 2008-05-21 16:13 d-------- C:\olala 2008-05-20 20:28 . 2008-05-20 20:28 d--hs---- C:\FOUND.028 2008-05-19 19:30 . 2008-05-19 19:30 d--hs---- C:\FOUND.027 2008-05-18 19:37 . 2008-05-18 19:37 d--hs---- C:\FOUND.026 2008-05-18 09:07 . 2008-05-18 09:07 d--hs---- C:\FOUND.025 2008-05-12 15:55 . 2008-05-12 15:55 d-------- C:\Program Files\NRJ 2008-05-03 12:50 . 2008-05-03 12:50 d-------- C:\Program Files\Guitar Pro 5.1 2008-05-01 12:36 . 2008-05-13 07:24 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-05-01 12:36 . 2008-05-01 12:36 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-30 16:46 . 2008-04-30 16:46 d-------- C:\Program Files\PocketRAR 2008-04-07 21:12 . 2008-04-07 21:35 22 --a------ C:\WINDOWS\VFO.INI 2008-04-07 21:07 . 2005-02-09 11:59 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys 2008-04-07 21:00 . 2008-04-07 21:00 d-------- C:\Program Files\Pinnacle 2008-04-07 13:31 . 2005-12-21 10:14 100,957 --a------ C:\WINDOWS\system32\drivers\emDevice.sys 2008-04-07 13:15 . 2005-06-02 19:28 171,008 --a------ C:\WINDOWS\system32\drivers\MarvinBus.sys 2008-04-07 13:11 . 2008-04-07 13:11 d-------- C:\Documents and Settings\All Users\Application Data\Pinnacle . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-20 19:17 70,656 ----a-w C:\WINDOWS\system32\dllcache\sysinfo.exe 2008-05-20 19:17 15,360 ----a-w C:\WINDOWS\system32\dllcache\register.exe 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 16:28 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-26 12:00 294,912 ----a-w C:\WINDOWS\system32\msctf.dll 2008-02-26 12:00 294,912 ------w C:\WINDOWS\system32\dllcache\msctf.dll 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:51 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:35 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:35 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-09-17 07:53 1,926 ----a-w C:\Documents and Settings\ANTOINE DA COSTA\Application Data\wklnhst.dat 2007-06-15 13:03 47,360 ----a-w C:\Documents and Settings\ANTOINE DA COSTA\Application Data\pcouffin.sys 2006-12-05 06:26 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2004-08-10 12:36 19,604 ---ha-w C:\Program Files\log0.txt 2004-08-10 12:36 173,439 ---ha-w C:\Program Files\log.bak.txt 2004-08-10 11:29 30,830 ---ha-w C:\Program Files\log1.txt 2004-08-09 19:39 30,818 ---ha-w C:\Program Files\log2.txt 2004-08-09 13:30 30,807 ---ha-w C:\Program Files\log3.txt 2004-08-07 07:22 30,789 ---ha-w C:\Program Files\log4.txt 2004-08-05 13:29 30,818 ---ha-w C:\Program Files\log5.txt 2002-08-30 10:00 94,864 --sh--w C:\WINDOWS\twain.dll 2004-08-19 23:09 50,688 --sh--w C:\WINDOWS\twain_32.dll 2004-07-29 22:04 1,216 --sh--w C:\WINDOWS\Twunk_16.dll 2004-07-29 22:04 1,216 --sh--w C:\WINDOWS\Twunk_32.dll 2004-08-19 23:09 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll 2004-08-19 23:10 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe 2004-08-19 23:09 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll 2004-08-19 23:09 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll 2004-08-19 23:09 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll 2004-08-19 23:09 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll 2007-12-04 17:41 550,912 --sh--w C:\WINDOWS\system32\oleaut32.dll 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360] "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 15:18 405583] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 09:34 561152] "LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2002-12-02 10:22 32768] "PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208] "Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2002-12-03 18:24 53248] "USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 10:14 73728] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-06-05 20:04 185896] "BitDefender Antiphishing Helper"="C:\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440] "BDAgent"="C:\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 17:45 360448] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware] --a------ 2007-06-11 11:25 6731312 C:\AVG Anti-Spyware 7.5\avgas.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BTCOUNT] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2005-01-19 15:18 405583 C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 11:43 2097488 C:\Spy----bot\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe] --a------ 2006-01-07 02:36 81920 C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\LeechGet 2007\LeechGet.exe"= "C:\Documents and Settings\ANTOINE DA COSTA\Bureau\Romain\Logiciels\LimeWire\LimeWire.exe"= "C:\Program Files\Messenger\msmsgs.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "24411:TCP"= 24411:TCP:*:Disabled:BitComet 24411 TCP "24411:UDP"= 24411:UDP:*:Disabled:BitComet 24411 UDP R1 dmiproxy;dmiproxy;C:\WINDOWS\system32\drivers\dmiproxy.sys [2002-11-06 23:26] R1 FDCBNT;FDCBNT;C:\WINDOWS\system32\drivers\FDCBNT.SYS [2007-01-27 19:27] R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2002-10-29 14:25] R1 mmkmd;mmkmd;C:\WINDOWS\system32\drivers\mmkmd.sys [2002-11-06 23:26] R1 nbmkmd;nbmkmd;C:\WINDOWS\system32\drivers\nbmkmd.sys [2002-11-06 23:26] R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-11-08 16:37] R1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [2002-10-23 11:25] R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\system32\drivers\A310.sys [2002-09-16 12:05] R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-01-25 15:40] R3 POWERKEY;POWERKEY;C:\Program Files\Launch Manager\POWERKEY.sys [2000-12-19 18:29] S3 5c959e6e-1ead-4453-be15-bb1148f7a665;5c959e6e-1ead-4453-be15-bb1148f7a665;E:\Player\cds300.dll [] S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35] S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-05-11 12:12] S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-05-11 12:12] S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-05-11 12:12] S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-05-11 12:12] S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-05-11 12:12] S3 ldiskl;ldiskl;C:\DOCUME~1\ANTOIN~1\LOCALS~1\Temp\ldiskl.sys [] S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 16:24] S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-11-02 11:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bccf428-3291-11db-86e3-c70165f31fdd}] \Shell\AutoRun\command - nideiect.com \Shell\explore\Command - nideiect.com \Shell\open\Command - nideiect.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed0aa5c4-16da-11dd-8a21-0000e29e82af}] \Shell\AutoRun\command - F:\start.exe \Shell\iledefrance\command - F:\start.exe *Newly Created Service* - CATCHME . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-05-31 16:06:02 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDetect.exe "2008-05-31 10:00:20 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job" - C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 18:04:45 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr] "ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\ [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr] "ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\ . Temps d'accomplissement: 2008-05-31 18:07:04 ComboFix2.txt 2008-05-31 13:10:48 ComboFix-quarantined-files.txt 2008-05-31 16:06:54 Pre-Run: 6,319,849,472 octets libres Post-Run: 6,302,449,664 octets libres 263 --- E O F --- 2008-05-27 21:38:08 Pour Hijackthis : Logfile of HijackThis v1.99.1 Scan saved at 18:23:03, on 31/05/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe C:\BitDefender\BitDefender 2008\vsserv.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\PowerKey.exe C:\Program Files\Launch Manager\Wbutton.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\BitDefender\BitDefender 2008\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\ANTOINE DA COSTA\Bureau\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 ME\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spy----bot\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\BitDefender\BitDefender 2008\IEToolbar.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\BitDefender\BitDefender 2008\IEShow.exe" O4 - HKLM\..\Run: [BDAgent] "C:\BitDefender\BitDefender 2008\bdagent.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2007\Parser.html O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2007\Wizard.html O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2007\AddUrl.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Spy----bot\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Spy----bot\SDHelper.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Easy File & Folder Protector (ACDService) - Unknown owner - C:\DOCUMENTS AND SETTINGS\ANTOINE DA COSTA\BUREAU\ROMAIN\FICHIERS PROVISOIRES\FILEPRO\EASY FILE & FOLDER PROTECTOR\EFPAP.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing) Voilà !

Utilisateur anonyme · Answer

Re ,

Recommence avec :

folder:
C:\FOUND.025
C:\FOUND.026
C:\FOUND.027
C:\FOUND.028
C:\FOUND.030
C:\FOUND.031 
C:\FOUND.031
C:\FOUND.030 

-> Poste le rapport

***************************************

Je n'ai pas demandé Hijackthis pour l'instant.

***************************************

Va sur ce site :

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe

Vérifie que la case "eliminar ficheros automaticamente" est cochée

Clique sur  "explorar"  puis laisse-le travailler.
                     
Puis poste moi le rapport situé dans C:\infosat.txt

(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )


A++

Utilisateur anonyme · Answer

Re !
D'abord le rapport Combo.
Fait les choses dans l'ordre ;)
++
[ combofix.txt ]

Si tu ne le trouve pas fait signe.
a++

royalscalp · Answer

Je ne veux pas te paraître hostile parce que tu m'aides et je t'en suis reconnaissant mais je t'ai demandé si c'était normal que le logiciel ne me donne pas le rapport de lui-même.
Je ne trouve pas le rapport qui devrait être dans C:\ normalement alors je suis en train de faire une fonction "Rechercher"

royalscalp · Answer

Bon, j'ai rien trouvé ! C'est pas normal !
Est-ce que je refais la manip' du cliquer/glisser du fichier "CFScript" modifié (avec "folder....") ?
J'ai vérifié j'ai pas fait d'erreur !

Utilisateur anonyme · Answer

Re !

Non t'en fait pas ;))

tu peux lancer une dernier recherche avec Windows pour voir , procède comme ceci :

Cliques sur Démarrer
Cliques sur Rechercher
Copie / colle dans la case Rechercher le(s) fichier(s) ou le(s) dossier(s) nommé(s) :

Combofix.txt


Selectionne Disque dur local
Cliques sur Options de recherche
Coches Options avancées
Coches Rechercher dans les dossiers système
Coches Rechercher dans les fichiers et dosiers
Coches Rechercher dans les sous-dossiers
Coches Rechercher dans les unités de sauvegarde
Cliques sur Rechercher


Si il trouve rien ,passe à la suite.
a+

Utilisateur anonyme · Answer

Re !
J'ai oublié de supprimer dans le CFScript ' accompagné d'un rapport Hijackthis '  ...

Fait ceci :

&#8594; Télécharge TrendMicro™ HijackThis™



Place le dans '  C:\programmes\  '

PUIS ,,

&#8594; Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:

(choisis enregistrer, puis Bureau comme emplacement)

Ferme toutes les applications en cours.

&#8594; Double-clic sur DSS.exe pour lancer l'outil.

&#8594; Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.

&#8594; A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.

Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )

a+

Utilisateur anonyme · Answer

Re ,

Hijackthis est situé ici -> C:\Program Files\TrendMicro\Hijackthis\ANTOINE DA COSTA.exe 

***************************************************

&#8594; Relance hijackthis , en menu principal choisis ' Do a system scan only' Et fixe ces/cette ligne(s) : ( coche la case à leurs gauches )

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 ME\Reader\ActiveX\AcroIEHelper.dll 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZN 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll 
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.1.11.30.dll/206 (file missing) 


Ferme toutes les fenêtres (hormis Hijackthis), y compris ton navigateur web. 

&#8594; clique sur  ' fixchecked '


***************************************************


Démarrer > executer > ' services.msc ' ,

- Clic droit sur le service cité -  Easy File & Folder Protector (ACDService)
- propriétés
- et dans "type de démarrage" et mets le sur « désactivé ».
- Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté » 

Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html


***************************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\


1)Télécharge  OTMoveIt2 ( de Old Timer ) 

2)Une fois téléchargé  double-clique sur OTMoveIt2.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

3)puis copie les lignes en gras qui se trouvent en dessous :


C:\FOUND.032
C:\FOUND.031
C:\FOUND.030 
C:\FOUND.029
C:\FOUND.028
C:\FOUND.027
C:\FOUND.026
C:\FOUND.025 
C:\WINDOWS\dace6772.dat
Emptytemp



et colle-les dans le cadre de gauche de OTMoveIt :   "Paste List Of Files/Folders to Move."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )

5) Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître , dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.


***************************************************

Dis moi ce qu'il y a dans ce dossier :

C:\olala


***************************************************

A++

Utilisateur anonyme · Answer

Re ,
Supprime le dossier ' olala ' .

Et poste moi un rapport Hijackthis.

[ Relance Hijackthis > Do a system scan and save a logfile ]

a++

Utilisateur anonyme · Answer

Re !

Parfait.

Avant d'aller plus loin pour terminer la désinfection , je voudrais savoir si tu as encore des soucis.

a++

Utilisateur anonyme · Answer

Re ,

Les preuves , c'est moi qui les voit dans le rapport Hijackthis ;)))

On continu ,

**********************************************


1) Télécharge Ncleaner sur ton bureau , double clique sur le fichier d'installation et installe le logiciel.


2) Double clique sur l'icône crée sur le bureau et choisi ' cleansystem '

3) A gauche de l'écran , sous ' clean system and applications ' vérifie que seulement les 4 premières cases soit cochées , puis clique sur  ' clean now ' > ' analyze ' 

--- Le programme va rechercher les fichier inutiles ---

Une fois l'analyse terminée , clique sur ' Clean ' et repond ' Yes ' a la demande de confirmation.

Cela terminé , clique sur ' Done ' 

4) Reprend l'étape 2 et choisi cette fois ci ' Registry clean and repair ' vérifie que toute les cases soient cochées et clique sur ' Clean now ' ( dans la colonne de droite cette fois-ci ) > ' Scan '  

--- Le programme va rechercher les clées de registre invalides ---

Une fois le scan terminé , clique sur ' Remove ' et repond ' Yes ' a la demande de confirmation.

Cela terminé , clique sur ' Done ' 


**********************************************

Garde Ncleaner  , tu t'en servira de temps en temps pour faire le ménage dans ton pc. ( par exemple toute les semaines ) .

****************************************************

&#8594; Télécharge clean : http://www.malekal.com/download/clean.zip

&#8594; Dézippe-le ( clique droit , extraire tout) 

&#8594; Lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

Note : Tu auras peut-être un message qui t'invitera a uploader un fichier , fait-le dès que tu pourras. 


Tutorial : http://bibou0007.com/outils-specifiques-f78/tuto-clean-t1007.htm

****************************************************

a++

Utilisateur anonyme · Answer

Re ,

Ncleaner est selon moi + efficace & complet que CCleaner. 
C'est pour cela que je le propose.

*************************************************

&#8594; Redémarre en MSE

Autre tutorials pour MSE:

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253

&#8594; Re-lance clean  -> Choisis l'option 2

---Clean va travailler.---

&#8594; Un rapport Va etre généré , poste le moi ;)

( Le rapport est aussi sauvegardé dans C:\Rapport_clean.txt )


*************************************************

A++

Utilisateur anonyme · Answer

Re !

_Maintenant , nous allons supprimer les logiciels de désinfection que je t'ai fait téléchargé.
En effet , s'en servir est dangereux pour le pc si l'on ne s'y connais pas.
De plus ils sont mis régulièrement à jours.


&#8594; Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

&#8594; Double clique sur ToolsCleaner2.exe >
&#8594; Clique sur .Recherche
&#8594; puis sur Suppression quand la liste est trouvée.
&#8594; Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )
 
Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

**************************************

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créer un point de restauration sain...

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok.

Activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur.

Tutorial :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924



A++

happygirly · Answer

Bonsoir à tous,

Je viens tout juste de m'inscrire sue ccm, je viens de passer la journée sur le pc pour les mêmes soucis que Royalscap.
J'ai bien essayé de télécharger tous les logiciels proposés dans le forum, de dr weit en passant par hijack,elibagla, combofix etc...
Je ne peux ouvrir aucuns de ces logiciels et de plus avast ne fonctionne plus.je suis sans protection anti virale en ce moment.
Quelqu'un a t il une solution pour moi, qui n'ai jamais eu à faire à un tel probléme(rootkit-gen,beagle aaw et beaucoup d'autres d'aprés avast) quand il fonctionnait.
J'utilise xp pack 2
Merci auw pros du dépannage d'avance

Utilisateur anonyme · Answer

Re ! Supprime Toolscleaner & Tcleaner.txt . Fait le point de restauration ... et mon aide s'arrête la :) [ après les mises a jour en fait ;) ] Questions ? Soucis ? Suggestions ? Autres ? ***************************************************** Ta version d'Adobe n'est pas à jour , désinstalle ta version actuelle en passant par ' ajout et supréssion de programmes ' Puis télécharge la dernière , via ce site --> https://get2.adobe.com/reader/otherversions/ Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures : https://www.adobe.com/support/security/bulletins/apsb07-01.html ************************************************************ Désinstalle ta version actuelle de JAVA via , Sous XP : Ajout et suppression de programmes Sous Vista: Programmes et fonctionnalités ****************************** Puis met à jour JAVA --> https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80 [ Version 6 update 6 ] ______________________________________________________________________ A Lire -> http://www.commentcamarche.net/faq/sujet 8201 pirates attaquent -> https://sebsauvage.net/safehex.html#r_pourquoisecuriser -> http://www.commentcamarche.net/faq/sujet 9289 trojan comment ca marche -> https://forum.pcastuces.com/default.asp -> http://assiste.com.free.fr/p/abc/a/safe_cex.html ______________________________________________________________________ Navigation sécurisée Avec Mozilla Firefox : -> Comparatif IE contre FF → http://www.infos-du-net.com/actualite/dossiers/11-firefox-internet-explorer.html -> Pourquoi utiliser FF ? → https://sebsauvage.net/logiciels/firefox.html > Téléchargement < -> https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ [ sécuriser FireFox ] Note : Il est important de garder IE car nombreux sont les logiciels qui ne fonctionnent qu'avec lui. ______________________________________________________________________ Pour sécuriser - Facultatif - ( si tu ne les as pas encore ): ______________________________________________________________________ ************ 1 *********** -> Spybot S&D (-> Scan passif + Résident ) > Téléchargement < -> Tutorial : https://forums.cnetfrance.fr ************ 2 *********** -> Spyware blaster > Téléchargement < -> Tutorial : https://www.malekal.com/tutorial-spywareblaster/ ************ 3 *********** -> SpywareGuard ( Ce logiciel complète très bien Spybot) > Téléchargement < -> Tutorial : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html ______________________________________________________________________ bon surf !

Utilisateur anonyme · Answer

Re !

Tu peux garder ton anti-virus [ Bitdefender ] , il est très bien :)

Pour les 3 logiciels , tu peux en prendre 1 , 2 ou 3 il n'y aura pas de conflits .  

A++

Virus BAGLE, le retour !

24 réponses

Discussions similaires

Newsletters