Infectée par le virus bagle.genRésolu/Fermé

Question

Salut tout le monde,
me voilà comme une cruche après avoir ouvert une soit disant clé pour Kaspersky et m'être retrouvée infectée par ce fameux virus "Bagle.gen".
J'ai trouvé sur 01.net une espèce de solution avec l'utilitaire antibagle-fr, là il est en train d'analyser, je verrai bien, mais je voulais savoir si vous connaissiez des anti-virus gratuits et quand même un minimum fiables, et aussi je voulais savoir, si antibagle m'élimine le virus, les applications qui ne marchent plus pour l'instant, est-ce qu'elles remarcheront sans les réinstaller ?

Que de questions que je vous posent ^^ mais j'suis pas trop calée niveau info
Voilà merci pour vos éventuelles réponses :)

Utilisateur anonyme · Answer

Salut,

Telecharge FindB sur ton bureau 

---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar


1) Dezippe l archive sur ton bureau

2) Double clic sur FindB

3) Post le rapport FindB.txt dans ton prochain message

note le rapport FindB.txt est sauvegardé a la racine du disque

frizou70 · Answer

Voilà j'ai lancé finB et voilà ce qui s'affiche


+- Recherche de fichier bagle :




+- Recherche dans : C:\WINDOWS\Prefetch :


C:\WINDOWS\Prefetch\WINTEMS.EXE Absent 

+- FindB mis a jours le  21/08/08 par Chiquitine29


C:\WINDOWS\Prefetch\MDELK.EXE Absent 

+- Recherche de fichier bagle :


C:\WINDOWS\Prefetch\HLDRRR.EXE Absent 
C:\WINDOWS\Prefetch\FLEC006.EXE Absent 


+- Recherche dans : C:\WINDOWS\system32 :




+- Recherche dans : C:\WINDOWS\Prefetch :


C:\WINDOWS\system32\hldrrr.exe Absent 
C:\WINDOWS\Prefetch\WINTEMS.EXE Absent 
C:\WINDOWS\system32\mdelk.exe Absent 
C:\WINDOWS\system32\wintems.exe Absent 
C:\WINDOWS\system32\ban_list.txt Absent 
C:\WINDOWS\Prefetch\MDELK.EXE Absent 


+- Recherche dans : C:\WINDOWS\system32\drivers :


C:\WINDOWS\system32\drivers\mdelk.exe Présent!!
C:\WINDOWS\Prefetch\HLDRRR.EXE Absent 
C:\WINDOWS\system32\drivers\srosa.sys Présent!!
C:\WINDOWS\system32\drivers\hldrrr.exe Présent!!
C:\WINDOWS\system32\drivers\downld Présent!!
C:\WINDOWS\Prefetch\FLEC006.EXE Absent 


+- Recherche dans : C:\Documents and Settings\Marine\Application Data :




+- Recherche dans : C:\WINDOWS\system32 :


C:\WINDOWS\system32\hldrrr.exe Absent 
C:\WINDOWS\system32\mdelk.exe Absent 
C:\WINDOWS\system32\wintems.exe Absent 
C:\WINDOWS\system32\ban_list.txt Absent 


+- Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    SoundMan	REG_SZ	SOUNDMAN.EXE
    SNPSTD2	REG_SZ	C:\WINDOWS\vsnpstd2.exe
    RegistryMechanic	REG_SZ	
    QuickTime Task	REG_SZ	"D:\Program Files\QuickTime\QTTask.exe" -atboottime
    PHIME2002ASync	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    PHIME2002A	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    IMJPMIG8.1	REG_SZ	"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    Adobe Reader Speed Launcher	REG_SZ	"D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
C:\WINDOWS\system32\drivers\mdelk.exe Présent!!

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    RocketDock	REG_SZ	"D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
    MessengerPlus3	REG_SZ	"C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    eMuleAutoStart	REG_SZ	D:\Emule\emule.exe -AutoStart

+- Recherche terminee !



+- Execute le : 22/08/2008 a 17:44:45,06


C:\WINDOWS\system32\drivers\hldrrr.exe Présent!!
C:\WINDOWS\system32\drivers\downld Présent!!


+- Recherche dans : C:\Documents and Settings\Marine\Application Data :




+- Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    SoundMan	REG_SZ	SOUNDMAN.EXE
    SNPSTD2	REG_SZ	C:\WINDOWS\vsnpstd2.exe
    RegistryMechanic	REG_SZ	
    QuickTime Task	REG_SZ	"D:\Program Files\QuickTime\QTTask.exe" -atboottime
    PHIME2002ASync	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    PHIME2002A	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    IMJPMIG8.1	REG_SZ	"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    Adobe Reader Speed Launcher	REG_SZ	"D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    RocketDock	REG_SZ	"D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
    MessengerPlus3	REG_SZ	"C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    eMuleAutoStart	REG_SZ	D:\Emule\emule.exe -AutoStart

+- Recherche terminee !



+- Execute le : 22/08/2008 a 17:44:45,25

Utilisateur anonyme · Answer

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Vas dans "Démarrer" puis Panneau de configuration. 
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs. 
- Clique sur Continuer. 
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur. 
- Valide par OK et redémarre. 


ensuire refais un scan FindB et post le rapport stp

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

Utilisateur anonyme · Answer

je reviens dans 20 min

frizou70 · Answer

Ok mais je peux pas redémarrer tout de suite parce je fais l'analyse de antibagle et je dois être aveugle ou bête mais je trouve pas activer ou désactiver pour les comptes utilisateurs, mais moi perso j'ai pas de comptes, j'ai un seul compte quoi, le compte administrateur, alors est-ce que c'est à cause de ça ?

Utilisateur anonyme · Answer

ok laisse dis moi quand ton scan est finit

frizou70 · Answer

Ok je poste dès que c'est fini mais pour l'instant toujours pas fini, c'est super long, faut dire que j'ai un sacré bordel dans l'ordi ^^
Sinon pour la suite une fois que j'aurai viré le virus, tu connaitrais pas un bon antivirus gratuit ?

frizou70 · Answer

Ah nan ça y'est le scan est fini, il a analysé 9959 dossiers et 120154 fichiers mais rien d'infecté apparemment, mais mon ordi fais un bruit bizarre, des fois la ventilation s'allume comme quand il redémarre.

La je m'en vais, si t'as une solution je viendrai refaire un tour demain midi sur le forum.
Sinon tant pis, je formaterai, en tout cas merci quand même :)

Utilisateur anonyme · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau 


-> Double clique sur killbagle.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 


Une fois fait, sur ton bureau double-clic sur killbagle.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 


-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

frizou70 · Answer

Voilà le compte rendu : ComboFix 08-08-21.02 - Marine 2008-08-23 13:39:29.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.229 [GMT 2:00] * CrÚation d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE R+CUP+RATION N'EST PAS INSTALL+E SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Marine\Application Data\m C:\Documents and Settings\Marine\Application Data\m\flec006.exe C:\Documents and Settings\Marine\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML C:\WINDOWS\system32\ban_list.txt C:\WINDOWS\system32\drivers\downld C:\WINDOWS\system32\drivers\downld\101515.exe C:\WINDOWS\system32\drivers\downld\1047546.exe C:\WINDOWS\system32\drivers\downld\106000.exe C:\WINDOWS\system32\drivers\downld\106437.exe C:\WINDOWS\system32\drivers\downld\1091734.exe C:\WINDOWS\system32\drivers\downld\109265.exe C:\WINDOWS\system32\drivers\downld\1099578.exe C:\WINDOWS\system32\drivers\downld\119734.exe C:\WINDOWS\system32\drivers\downld\119812.exe C:\WINDOWS\system32\drivers\downld\126265.exe C:\WINDOWS\system32\drivers\downld\127000.exe C:\WINDOWS\system32\drivers\downld\128781.exe C:\WINDOWS\system32\drivers\downld\133640.exe C:\WINDOWS\system32\drivers\downld\135156.exe C:\WINDOWS\system32\drivers\downld\136687.exe C:\WINDOWS\system32\drivers\downld\173937.exe C:\WINDOWS\system32\drivers\downld\184375.exe C:\WINDOWS\system32\drivers\downld\195578.exe C:\WINDOWS\system32\drivers\downld\219671.exe C:\WINDOWS\system32\drivers\downld\220781.exe C:\WINDOWS\system32\drivers\downld\239750.exe C:\WINDOWS\system32\drivers\downld\247781.exe C:\WINDOWS\system32\drivers\downld\605218.exe C:\WINDOWS\system32\drivers\downld\620468.exe C:\WINDOWS\system32\drivers\downld\89656.exe C:\WINDOWS\system32\drivers\downld\940531.exe C:\WINDOWS\system32\drivers\downld\953171.exe C:\WINDOWS\system32\drivers\downld\954437.exe C:\WINDOWS\system32\drivers\downld\960859.exe C:\WINDOWS\system32\drivers\downld\962375.exe C:\WINDOWS\system32\drivers\downld\97375.exe C:\WINDOWS\system32\drivers\downld\995968.exe C:\WINDOWS\system32\drivers\downld\999375.exe C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\drivers\mdelk.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\wintems.exe . ((((((((((((((((((((((((((((( Fichiers crÚÚs 2008-07-23 to 2008-08-23 )))))))))))))))))))))))))))))))))))) . 2008-08-22 17:44 . 2008-08-22 17:44 1,782 --a------ C:\FindB.txt) 2008-08-22 17:36 . 2008-08-22 17:58 d-------- C:\Program Files\Microsoft Windows OneCare Live 2008-08-22 15:01 . 2008-08-22 15:01 d--hs---- C:\WINDOWS\ftpcache 2008-08-22 15:01 . 2008-08-22 15:01 d-------- C:\Program Files\Free 2008-08-18 14:08 . 2008-08-18 14:08 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-08-15 13:30 . 2008-08-15 13:30 d-------- C:\Documents and Settings\Marine\Application Data\Samsung 2008-08-15 13:19 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2008-08-15 13:18 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-08-15 13:15 . 2008-08-15 13:19 d-------- C:\WINDOWS\system32\Samsung_USB_Drivers 2008-08-15 13:15 . 2008-08-15 13:15 d-------- C:\Program Files\Samsung 2008-08-15 13:15 . 2005-08-30 17:59 94,000 --a------ C:\WINDOWS\system32\drivers\ss_mdm.sys 2008-08-15 13:15 . 2005-08-30 17:57 58,320 --a------ C:\WINDOWS\system32\drivers\ss_bus.sys 2008-08-15 13:15 . 2005-08-30 17:58 8,304 --a------ C:\WINDOWS\system32\drivers\ss_mdfl.sys 2008-08-15 13:15 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cmnt.sys 2008-08-15 13:15 . 2005-08-30 17:58 6,144 --a------ C:\WINDOWS\system32\drivers\ss_cm.sys 2008-08-15 13:15 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_whnt.sys 2008-08-15 13:15 . 2005-08-30 17:57 5,808 --a------ C:\WINDOWS\system32\drivers\ss_wh.sys 2008-08-15 13:15 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-08-10 16:04 . 2008-08-10 16:04 d-------- C:\Documents and Settings\Marine\Application Data\Apple Computer 2008-07-28 18:42 . 2008-08-22 17:36 d-------- C:\Program Files\Windows Live Safety Center . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-22 14:45 729,632 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-08-22 14:45 56,014,368 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-22 14:36 754,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-22 14:36 72,488 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-08-15 11:18 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-18 14:09 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-07-18 14:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems 2008-07-18 14:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe Systems Shared 2008-07-14 12:49 --------- d-----w C:\Documents and Settings\Marine\Application Data\Desperate Housewives 2008-07-11 13:56 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-07-11 13:49 --------- d-----w C:\Documents and Settings\Marine\Application Data\InstallShield 2008-06-30 19:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-06-30 19:26 --------- d-----w C:\Program Files\Apple Software Update 2008-06-30 19:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2008-06-20 13:49 64,111 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2008-06-20 13:49 6,116 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-06-20 13:49 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll . ------- Sigcheck ------- 2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ÚlÚments vides & les ÚlÚments initiaux lÚgitimes ne sont pas listÚs REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RocketDock"="D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2008-05-07 14:52 190024] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] "eMuleAutoStart"="D:\Emule\emule.exe" [2007-05-13 16:57 5308416] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 18:37 286720] "QuickTime Task"="D:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 14:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 14:00 455168] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 14:00 208952] "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe] C:\Documents and Settings\Marine\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664] RocketDock.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784] TransBar.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 21:41:18 65536] UberIcon.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 09:43:08 180224] [HKLM\~\startupfolder\C:^Documents and Settings^Marine^Menu Démarrer^Programmes^Démarrage^Y'z Shadow.lnk] backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 19:12] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/TÔches planifiÚes' 2008-08-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] 2008-08-19 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1211047110.job - D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-12-02 21:38] . - - - - ORPHANS REMOVED - - - - HKLM-Run-RegistryMechanic - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\y0hgrvya.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://skyrock.com FF -: plugin - D:\Program Files\Adobe\Reader 8.0\Reader\browser ppdf32.dll FF -: plugin - D:\Program Files\DivX\DivX Player pDivxPlayerPlugin.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin2.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin3.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin4.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin5.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin6.dll FF -: plugin - D:\Program Files\QuickTime\Plugins pqtplugin7.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-23 13:40:36 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachÚs ... Balayage cachÚ autostart entries ... Balayage des fichiers cachÚs ... Scan terminÚ avec succÞs Les fichiers cachÚs: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\wdfmgr.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-23 13:41:21 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-23 11:41:18 Pre-Run: 1,765,081,088 octets libres Post-Run: 2,175,631,360 octets libres 186 --- E O F --- 2008-05-07 10:52:32

Utilisateur anonyme · Answer

Telecharge malwarebytes 

-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

frizou70 · Answer

Voilà le rapport : 

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1078
Windows 5.1.2600 Service Pack 2

18:06:54 23/08/2008
mbam-log-08-23-2008 (18-06-54).txt

Type de recherche: Examen rapide
Eléments examinés: 37670
Temps écoulé: 3 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

1) refais un scan findB et post le rapport stp

2) dis moi comment va le pc , antivirus, parefeu,windows defender,centre de securité etc

frizou70 · Answer

voilà le rapport FindB :


+- FindB mis a jours le  21/08/08 par Chiquitine29



+- Recherche de fichier bagle :




+- Recherche dans : C:\WINDOWS\Prefetch :


C:\WINDOWS\Prefetch\WINTEMS.EXE Absent 
C:\WINDOWS\Prefetch\MDELK.EXE Absent 
C:\WINDOWS\Prefetch\HLDRRR.EXE Absent 
C:\WINDOWS\Prefetch\FLEC006.EXE Absent 


+- Recherche dans : C:\WINDOWS\system32 :


C:\WINDOWS\system32\hldrrr.exe Absent 
C:\WINDOWS\system32\mdelk.exe Absent 
C:\WINDOWS\system32\wintems.exe Absent 
C:\WINDOWS\system32\ban_list.txt Absent 


+- Recherche dans : C:\WINDOWS\system32\drivers :


C:\WINDOWS\system32\drivers\mdelk.exe Absent 
C:\WINDOWS\system32\drivers\srosa.sys Absent 
C:\WINDOWS\system32\drivers\hldrrr.exe Absent 
C:\WINDOWS\system32\drivers\downld Absent 


+- Recherche dans : C:\Documents and Settings\Marine\Application Data :




+- Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    SoundMan	REG_SZ	SOUNDMAN.EXE
    SNPSTD2	REG_SZ	C:\WINDOWS\vsnpstd2.exe
    QuickTime Task	REG_SZ	"D:\Program Files\QuickTime\QTTask.exe" -atboottime
    PHIME2002ASync	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    PHIME2002A	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    IMJPMIG8.1	REG_SZ	"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    Adobe Reader Speed Launcher	REG_SZ	"D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    avgnt	REG_SZ	"D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    RocketDock	REG_SZ	"D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
    MessengerPlus3	REG_SZ	"C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    eMuleAutoStart	REG_SZ	D:\Emule\emule.exe -AutoStart

+- Recherche terminee !



+- Execute le : 23/08/2008 a 19:13:51,23


Sinon l'ordi ça va, y rame tjs mais ça c'est même sans virus lol après j'ai installé Antivir en attendant d'avoir une clé pour Kaspersky, et mon pare-feu Windows est désactivé (pour eMule).
Je sais pas comment savoir si le virus s'est barré, mais en tout cas merci d'm'avoir aidé :)

Utilisateur anonyme · Answer

le virus est detruit no soucis 


pour fire le point sur le pc :

Télécharge HijackThis ici : 

->  Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
->  ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

-> Clique sur Install ensuite sur I Accept 

-> Clique sur Do a scan system and save log file 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

frizou70 · Answer

Voila le compte-rendu : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21, on 23/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
d:\windows\explorer.exe
D:\Emule\emule.exe
D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.skyrock.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.skyrock.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Emule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u5-windows-i586-jc.cab&AuthParam=1580944752_ad714b48b0d186f5adbe4ba05260ecbd&ext=.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

désinstal java  car pas a jours et telecharge et instal cette version :

https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe&BHost=javadl.sun.com&File=jre-6u7-windows-i586-p-s.exe&AuthParam=1580978146_46494a57fbc0e7c89e79cfb72e28cd3a&ext=.exe

idem  pour adobe reader : http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.0/fra/AdbeRdr90_fr_FR.exe

met a jours internet explorer :

IE 7 : ftp://ftp.telecharger.com/01net/IE7Setup.exe


pourquoi ? : IE6 VS IE7 : https://forum.malekal.com/viewtopic.php?f=45&t=12405


supprime findB sur ton bureau , idem pour killbagle

Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

frizou70 · Answer

Ok je fais tout ça mais pr internet explorer c'est normal que j'ai l'ancienne version parce que je suis passée à Firefox dc j'ai voulu désinstaller Internet explorer, mais quand je veux aller voir mes emails depuis Msn par exemple, quand je clique, ça ouvre avec internet explorer, même en mettant Firefox en navigateur par défaut. Mais c'est vraiment indispensable que je le mette à jour ? ou est-ce que je peux essayer de le supprimer complètement ?

frizou70 · Answer

Voilà le rapport, j'ai utilisé Tools Cleaner sans avoir installé les mises à jour c'est pas grave ?.

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marine\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marine\Bureau\HJTInstall.exe: trouvé !


Fichiers temporaires nettoyés !
Corbeille vidée!
---------------------------------
-->- Suppression: 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marine\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marine\Bureau\HJTInstall.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

Utilisateur anonyme · Answer

non c est pas garve , les maj sont a faire 


si tu n as pas d autres soucis change le statut du sujet en resolu stp

http://www.commentcamarche.net/faq/sujet 11365 marquer un fil de discussion comme etant resolu

Infectée par le virus bagle.gen

20 réponses

Discussions similaires

Newsletters