Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Infectée par le virus bagle.gen

Dernière réponse le 23 aoû 2008 à 20:08:10 frizou70, le 22 aoû 2008 à 17:35:28

Signaler ce message aux modérateurs

Salut tout le monde,
me voilà comme une cruche après avoir ouvert une soit disant clé pour Kaspersky et m'être retrouvée infectée par ce fameux virus "Bagle.gen".
J'ai trouvé sur 01.net une espèce de solution avec l'utilitaire antibagle-fr, là il est en train d'analyser, je verrai bien, mais je voulais savoir si vous connaissiez des anti-virus gratuits et quand même un minimum fiables, et aussi je voulais savoir, si antibagle m'élimine le virus, les applications qui ne marchent plus pour l'instant, est-ce qu'elles remarcheront sans les réinstaller ?

Que de questions que je vous posent ^^ mais j'suis pas trop calée niveau info
Voilà merci pour vos éventuelles réponses :)

Configuration: Windows XP
Firefox 3.0.1

Meilleures réponses pour « Infectée par le virus bagle.gen » dans :

Eradiquer le virus BAGLE (Résolu) Voir

De l'aide svp infecté par le virus bagle.gen (Résolu) Voir

Virus bagle.gen (Résolu) Voir

Infection WinNT / Bagle.gen : à l'aide SVP Voir

VIRUS MALWARE-GEN (Résolu) Voir

Comment suprimer win32.bagle.gen?? (Résolu) Voir

Posez votre question Répondre

Chiquitine29, le 22 aoû 2008 à 17:42:53

Salut,

Telecharge FindB sur ton bureau

---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar

1) Dezippe l archive sur ton bureau

2) Double clic sur FindB

3) Post le rapport FindB.txt dans ton prochain message

note le rapport FindB.txt est sauvegardé a la racine du disque
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 22 aoû 2008 à 17:46:12

Voilà j'ai lancé finB et voilà ce qui s'affiche

+- Recherche de fichier bagle :

+- Recherche dans : C:\WINDOWS\Prefetch :

C:\WINDOWS\Prefetch\WINTEMS.EXE Absent

+- FindB mis a jours le 21/08/08 par Chiquitine29

C:\WINDOWS\Prefetch\MDELK.EXE Absent

+- Recherche de fichier bagle :

C:\WINDOWS\Prefetch\HLDRRR.EXE Absent
C:\WINDOWS\Prefetch\FLEC006.EXE Absent

+- Recherche dans : C:\WINDOWS\system32 :

+- Recherche dans : C:\WINDOWS\Prefetch :

C:\WINDOWS\system32\hldrrr.exe Absent
C:\WINDOWS\Prefetch\WINTEMS.EXE Absent
C:\WINDOWS\system32\mdelk.exe Absent
C:\WINDOWS\system32\wintems.exe Absent
C:\WINDOWS\system32\ban_list.txt Absent
C:\WINDOWS\Prefetch\MDELK.EXE Absent

+- Recherche dans : C:\WINDOWS\system32\drivers :

C:\WINDOWS\system32\drivers\mdelk.exe Présent!!
C:\WINDOWS\Prefetch\HLDRRR.EXE Absent
C:\WINDOWS\system32\drivers\srosa.sys Présent!!
C:\WINDOWS\system32\drivers\hldrrr.exe Présent!!
C:\WINDOWS\system32\drivers\downld Présent!!
C:\WINDOWS\Prefetch\FLEC006.EXE Absent

+- Recherche dans : C:\Documents and Settings\Marine\Application Data :

+- Recherche dans : C:\WINDOWS\system32 :

C:\WINDOWS\system32\hldrrr.exe Absent
C:\WINDOWS\system32\mdelk.exe Absent
C:\WINDOWS\system32\wintems.exe Absent
C:\WINDOWS\system32\ban_list.txt Absent

+- Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
SoundMan REG_SZ SOUNDMAN.EXE
SNPSTD2 REG_SZ C:\WINDOWS\vsnpstd2.exe
RegistryMechanic REG_SZ
QuickTime Task REG_SZ "D:\Program Files\QuickTime\QTTask.exe" -atboottime
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
Adobe Reader Speed Launcher REG_SZ "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
C:\WINDOWS\system32\drivers\mdelk.exe Présent!!

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
RocketDock REG_SZ "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
MessengerPlus3 REG_SZ "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
eMuleAutoStart REG_SZ D:\Emule\emule.exe -AutoStart

+- Recherche terminee !

+- Execute le : 22/08/2008 a 17:44:45,06

C:\WINDOWS\system32\drivers\hldrrr.exe Présent!!
C:\WINDOWS\system32\drivers\downld Présent!!

+- Recherche dans : C:\Documents and Settings\Marine\Application Data :

+- Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
SoundMan REG_SZ SOUNDMAN.EXE
SNPSTD2 REG_SZ C:\WINDOWS\vsnpstd2.exe
RegistryMechanic REG_SZ
QuickTime Task REG_SZ "D:\Program Files\QuickTime\QTTask.exe" -atboottime
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
Adobe Reader Speed Launcher REG_SZ "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
RocketDock REG_SZ "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
MessengerPlus3 REG_SZ "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
eMuleAutoStart REG_SZ D:\Emule\emule.exe -AutoStart

+- Recherche terminee !

+- Execute le : 22/08/2008 a 17:44:45,25

Répondre à frizou70

Chiquitine29, le 22 aoû 2008 à 17:52:55

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Vas dans "Démarrer" puis Panneau de configuration.
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
- Clique sur Continuer.
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
- Valide par OK et redémarre.

ensuire refais un scan FindB et post le rapport stp

Tuto : http://forum.malekal.com/viewtopic.php?f=59&t=6517 A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

Chiquitine29, le 22 aoû 2008 à 17:54:40

Je reviens dans 20 min A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 22 aoû 2008 à 17:56:41

Ok mais je peux pas redémarrer tout de suite parce je fais l'analyse de antibagle et je dois être aveugle ou bête mais je trouve pas activer ou désactiver pour les comptes utilisateurs, mais moi perso j'ai pas de comptes, j'ai un seul compte quoi, le compte administrateur, alors est-ce que c'est à cause de ça ?

Répondre à frizou70

Chiquitine29, le 22 aoû 2008 à 18:29:14

Ok laisse dis moi quand ton scan est finit A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 22 aoû 2008 à 19:04:32

Ok je poste dès que c'est fini mais pour l'instant toujours pas fini, c'est super long, faut dire que j'ai un sacré bordel dans l'ordi ^^
Sinon pour la suite une fois que j'aurai viré le virus, tu connaitrais pas un bon antivirus gratuit ?

Répondre à frizou70

frizou70, le 22 aoû 2008 à 19:07:27

Ah nan ça y'est le scan est fini, il a analysé 9959 dossiers et 120154 fichiers mais rien d'infecté apparemment, mais mon ordi fais un bruit bizarre, des fois la ventilation s'allume comme quand il redémarre.

La je m'en vais, si t'as une solution je viendrai refaire un tour demain midi sur le forum.
Sinon tant pis, je formaterai, en tout cas merci quand même :)

Répondre à frizou70

Chiquitine29, le 22 aoû 2008 à 19:12:27

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau

-> Double clique sur killbagle.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Une fois fait, sur ton bureau double-clic sur killbagle.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 23 aoû 2008 à 13:44:01

Voilà le compte rendu :

ComboFix 08-08-21.02 - Marine 2008-08-23 13:39:29.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.229 [GMT 2:00]
* CrÚation d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE R+CUP+RATION N'EST PAS INSTALL+E SUR CETTE MACHINE !!/b /color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Marine\Application Data\m
C:\Documents and Settings\Marine\Application Data\m\flec006.exe
C:\Documents and Settings\Marine\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\101515.exe
C:\WINDOWS\system32\drivers\downld\1047546.exe
C:\WINDOWS\system32\drivers\downld\106000.exe
C:\WINDOWS\system32\drivers\downld\106437.exe
C:\WINDOWS\system32\drivers\downld\1091734.exe
C:\WINDOWS\system32\drivers\downld\109265.exe
C:\WINDOWS\system32\drivers\downld\1099578.exe
C:\WINDOWS\system32\drivers\downld\119734.exe
C:\WINDOWS\system32\drivers\downld\119812.exe
C:\WINDOWS\system32\drivers\downld\126265.exe
C:\WINDOWS\system32\drivers\downld\127000.exe
C:\WINDOWS\system32\drivers\downld\128781.exe
C:\WINDOWS\system32\drivers\downld\133640.exe
C:\WINDOWS\system32\drivers\downld\135156.exe
C:\WINDOWS\system32\drivers\downld\136687.exe
C:\WINDOWS\system32\drivers\downld\173937.exe
C:\WINDOWS\system32\drivers\downld\184375.exe
C:\WINDOWS\system32\drivers\downld\195578.exe
C:\WINDOWS\system32\drivers\downld\219671.exe
C:\WINDOWS\system32\drivers\downld\220781.exe
C:\WINDOWS\system32\drivers\downld\239750.exe
C:\WINDOWS\system32\drivers\downld\247781.exe
C:\WINDOWS\system32\drivers\downld\605218.exe
C:\WINDOWS\system32\drivers\downld\620468.exe
C:\WINDOWS\system32\drivers\downld\89656.exe
C:\WINDOWS\system32\drivers\downld\940531.exe
C:\WINDOWS\system32\drivers\downld\953171.exe
C:\WINDOWS\system32\drivers\downld\954437.exe
C:\WINDOWS\system32\drivers\downld\960859.exe
C:\WINDOWS\system32\drivers\downld\962375.exe
C:\WINDOWS\system32\drivers\downld\97375.exe
C:\WINDOWS\system32\drivers\downld\995968.exe
C:\WINDOWS\system32\drivers\downld\999375.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

.
((((((((((((((((((((((((((((( Fichiers crÚÚs 2008-07-23 to 2008-08-23 ))))))))))))))))))))))))))))))))))))
.

2008-08-22 17:44 . 2008-08-22 17:44 1,782 --a------ C:\FindB.txt)
2008-08-22 17:36 . 2008-08-22 17:58 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live
2008-08-22 15:01 . 2008-08-22 15:01 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-08-22 15:01 . 2008-08-22 15:01 <REP> d-------- C:\Program Files\Free
2008-08-18 14:08 . 2008-08-18 14:08 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-08-15 13:30 . 2008-08-15 13:30 <REP> d-------- C:\Documents and Settings\Marine\Application Data\Samsung
2008-08-15 13:19 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-08-15 13:18 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-08-15 13:15 . 2008-08-15 13:19 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-08-15 13:15 . 2008-08-15 13:15 <REP> d-------- C:\Program Files\Samsung
2008-08-15 13:15 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys
2008-08-15 13:15 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys
2008-08-15 13:15 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys
2008-08-15 13:15 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys
2008-08-15 13:15 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys
2008-08-15 13:15 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys
2008-08-15 13:15 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys
2008-08-15 13:15 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-08-10 16:04 . 2008-08-10 16:04 <REP> d-------- C:\Documents and Settings\Marine\Application Data\Apple Computer
2008-07-28 18:42 . 2008-08-22 17:36 <REP> d-------- C:\Program Files\Windows Live Safety Center

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-22 14:45 729,632 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-22 14:45 56,014,368 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-22 14:36 754,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-22 14:36 72,488 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-15 11:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-18 14:09 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-07-18 14:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems
2008-07-18 14:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe Systems Shared
2008-07-14 12:49 --------- d-----w C:\Documents and Settings\Marine\Application Data\Desperate Housewives
2008-07-11 13:56 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-11 13:49 --------- d-----w C:\Documents and Settings\Marine\Application Data\InstallShield
2008-06-30 19:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-06-30 19:26 --------- d-----w C:\Program Files\Apple Software Update
2008-06-30 19:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-06-20 13:49 64,111 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-06-20 13:49 6,116 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-06-20 13:49 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
.

------- Sigcheck -------

2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÚlÚments vides & les ÚlÚments initiaux lÚgitimes ne sont pas listÚs
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]
"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2008-05-07 14:52 190024]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"eMuleAutoStart"="D:\Emule\emule.exe" [2007-05-13 16:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 18:37 286720]
"QuickTime Task"="D:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 14:00 455168]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 14:00 208952]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]

C:\Documents and Settings\Marine\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]
RocketDock.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]
TransBar.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 21:41:18 65536]
UberIcon.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 09:43:08 180224]

[HKLM\~\startupfolder\C:^Documents and Settings^Marine^Menu Démarrer^Programmes^Démarrage^Y'z Shadow.lnk]
backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 19:12]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/TÔches planifiÚes'

2008-08-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-08-19 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211047110.job
- D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-12-02 21:38]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-RegistryMechanic - (no file)

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\y0hgrvya.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://skyrock.com
FF -: plugin - D:\Program Files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF -: plugin - D:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - D:\Program Files\QuickTime\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 13:40:36
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachÚs ...

Balayage cachÚ autostart entries ...

Balayage des fichiers cachÚs ...

Scan terminÚ avec succÞs
Les fichiers cachÚs: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-23 13:41:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-23 11:41:18

Pre-Run: 1,765,081,088 octets libres
Post-Run: 2,175,631,360 octets libres

186 --- E O F --- 2008-05-07 10:52:32

Répondre à frizou70

Chiquitine29, le 23 aoû 2008 à 15:27:29

Telecharge malwarebytes

-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 23 aoû 2008 à 18:08:06

Voilà le rapport :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1078
Windows 5.1.2600 Service Pack 2

18:06:54 23/08/2008
mbam-log-08-23-2008 (18-06-54).txt

Type de recherche: Examen rapide
Eléments examinés: 37670
Temps écoulé: 3 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Répondre à frizou70

Chiquitine29, le 23 aoû 2008 à 18:30:28

1) refais un scan findB et post le rapport stp

2) dis moi comment va le pc , antivirus, parefeu,windows defender,centre de securité etc A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 23 aoû 2008 à 19:15:54

Voilà le rapport FindB :

+- FindB mis a jours le 21/08/08 par Chiquitine29

+- Recherche de fichier bagle :

+- Recherche dans : C:\WINDOWS\Prefetch :

C:\WINDOWS\Prefetch\WINTEMS.EXE Absent
C:\WINDOWS\Prefetch\MDELK.EXE Absent
C:\WINDOWS\Prefetch\HLDRRR.EXE Absent
C:\WINDOWS\Prefetch\FLEC006.EXE Absent

+- Recherche dans : C:\WINDOWS\system32 :

C:\WINDOWS\system32\hldrrr.exe Absent
C:\WINDOWS\system32\mdelk.exe Absent
C:\WINDOWS\system32\wintems.exe Absent
C:\WINDOWS\system32\ban_list.txt Absent

+- Recherche dans : C:\WINDOWS\system32\drivers :

C:\WINDOWS\system32\drivers\mdelk.exe Absent
C:\WINDOWS\system32\drivers\srosa.sys Absent
C:\WINDOWS\system32\drivers\hldrrr.exe Absent
C:\WINDOWS\system32\drivers\downld Absent

+- Recherche dans : C:\Documents and Settings\Marine\Application Data :

+- Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
SoundMan REG_SZ SOUNDMAN.EXE
SNPSTD2 REG_SZ C:\WINDOWS\vsnpstd2.exe
QuickTime Task REG_SZ "D:\Program Files\QuickTime\QTTask.exe" -atboottime
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Adobe Reader Speed Launcher REG_SZ "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
avgnt REG_SZ "D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
RocketDock REG_SZ "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
MessengerPlus3 REG_SZ "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
eMuleAutoStart REG_SZ D:\Emule\emule.exe -AutoStart

+- Recherche terminee !

+- Execute le : 23/08/2008 a 19:13:51,23

Sinon l'ordi ça va, y rame tjs mais ça c'est même sans virus lol après j'ai installé Antivir en attendant d'avoir une clé pour Kaspersky, et mon pare-feu Windows est désactivé (pour eMule).
Je sais pas comment savoir si le virus s'est barré, mais en tout cas merci d'm'avoir aidé :)

Répondre à frizou70

Chiquitine29, le 23 aoû 2008 à 19:18:58

Le virus est detruit no soucis

pour fire le point sur le pc :

Télécharge HijackThis ici :

-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

-> Clique sur Install ensuite sur I Accept

-> Clique sur Do a scan system and save log file

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 23 aoû 2008 à 19:22:36

Voila le compte-rendu :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21, on 23/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
d:\windows\explorer.exe
D:\Emule\emule.exe
D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://skyrock.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Emule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
End of file - 5608 bytes

Répondre à frizou70

Chiquitine29, le 23 aoû 2008 à 19:26:33

Désinstal java car pas a jours et telecharge et instal cette version :

http://javadl.sun.com/webapps/download/AutoDL?BundleId=23111

idem pour adobe reader : http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.0/fra/AdbeRdr90_fr_FR.exe

met a jours internet explorer :

IE 7 : ftp://ftp.telecharger.com/01net/IE7Setup.exe

pourquoi ? : IE6 VS IE7 : http://forum.malekal.com/viewtopic.php?f=45&t=12405

supprime findB sur ton bureau , idem pour killbagle

Télécharge ToolsCleaner sur ton bureau.
-->
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/TC/ToolsCleaner2.exe

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + TChiki.

Répondre à Chiquitine29

frizou70, le 23 aoû 2008 à 19:31:17

Ok je fais tout ça mais pr internet explorer c'est normal que j'ai l'ancienne version parce que je suis passée à Firefox dc j'ai voulu désinstaller Internet explorer, mais quand je veux aller voir mes emails depuis Msn par exemple, quand je clique, ça ouvre avec internet explorer, même en mettant Firefox en navigateur par défaut. Mais c'est vraiment indispensable que je le mette à jour ? ou est-ce que je peux essayer de le supprimer complètement ?

Répondre à frizou70

frizou70, le 23 aoû 2008 à 19:42:32

Voilà le rapport, j'ai utilisé Tools Cleaner sans avoir installé les mises à jour c'est pas grave ?.

-->- Recherche:

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marine\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marine\Bureau\HJTInstall.exe: trouvé !

Fichiers temporaires nettoyés !
Corbeille vidée!
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marine\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marine\Bureau\HJTInstall.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

Répondre à frizou70

20 réponses 12 Suivant

Posez votre question Répondre