Virus win32:beagle-yn[wrm]
Fermé
corto69
Messages postés
30
Date d'inscription
jeudi 17 janvier 2008
Statut
Membre
Dernière intervention
21 janvier 2008
-
17 janv. 2008 à 00:26
eTa!Zor - 28 août 2008 à 13:04
eTa!Zor - 28 août 2008 à 13:04
A voir également:
- Virus win32:beagle-yn[wrm]
- Svchost.exe virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Win32:bogent - Forum Virus
- Trojan win32 - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
64 réponses
corto69
Messages postés
30
Date d'inscription
jeudi 17 janvier 2008
Statut
Membre
Dernière intervention
21 janvier 2008
17 janv. 2008 à 00:49
17 janv. 2008 à 00:49
Re bonsoir plutôt je viens de finir un antivirus en ligne qui lui me dirais plus que c'est: W32/Bagle.HX.worm
Le logiciel en ligne est :Panda total scan.il met des truc sur se virus mais c'est en anglais et j'y comprend rien non plus.. je vous le met quand même..
w32/bagle.hx.w... Virus Latent Hide + Info
c:\windows\system32\wintems.exe
hkey_current_user\software\datetime4
En détail technique y mette sa:
Effects
Bagle.HX carries out the following actions:
It has rootkit functionalities, which allow it to hide files, processes and Windows Registry entries.
It attempts to disable the following services:
A
Aavmker4, ABVPN2K, ADBLOCK.DLL, ADFirewall, AFWMCL, Ahnlab, alerter, AlertManger, AntiVir, AntiyFirewall, ARP.DLL, aswMon2, aswRdr, aswTdi, aswUpdSv, Ati, avast!, AVEService, AVExch32Service, AvFlt, Avg7Alrt, Avg7Core, Avg7RsW, Avg7RsXP, Avg7UpdSvc, AvgCore, AvgFsh, AVGFwSrv, AvgFwSvr, AvgServ, AvgTdi, AVIRAMailService, AVIRAService, avpcc, AVUPDService, AVWUpSrv, AvxIni, awhost32.
B
backweb, BackWeb, Bdfndisf, bdftdif, bdss, BlackICE, BsFileSpy, BsFirewall, BsMailProxy.
C
CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, CONTENT.DLL.
D
DefWatch, DNSCACHE.DLL, drwebnet, dvpapi, dvpinit.
E
ewido.
F
firewall, F-Prot, fsbwsys, FSDFWD, F-Secure, FSFW, FSMA, FTPFILT.DLL, FwcAgent, fwdrv.
G
Guard.
H
HSnSFW, HSnSPro, HTMLFILT.DLL, HTTPFILT.DLL.
I
IMAPFILT.DLL, InoRPC, InoRT, InoTask, Ip6Fw, Ip6FwHlp.
K
KAVMonitorService, KAVSvc, KLBLMain, KPfwSvc, KWatch3, KWatchSvc.
M
MAILFILT.DLL, McAfee, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, Microsoft, MonSvcNT, MpfService.
N
navapsvc, NDIS_RD, Ndisuio, Network, nipsvc, NISSERV, NISUM, NNTPFILT.DLL, NOD32ControlCenter, NOD32krn, NOD32Service, Norman, Norton, NPDriver, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService.
O
OfcPfwSvc, Outbreak, Outpost, OutpostFirewall.
P
PASSRV, PAVAGENTE, PavAtScheduler, PAVDRV, PAVFIRES, PAVFNSVR, Pavkre, PavProc, PavProt, PavPrSrv, PavReport, PAVSRV, PCC_PFW, PCCPFW, PersFW, Personal, POP3FILT.DLL, PREVSRV, PROTECT.DLL, PSIMSVC.
Q
qhwscsvc, Quick.
R
ravmon8, RfwService.
S
SAVFMSE, SAVScan, SBService, schscnt, SECRET.DLL, SharedAccess, SmcService, SNDSrvc, SPBBCSvc, SpiderNT, SweepNet, SWEEPSRV.SYS, Symantec.
T
T_H_S_M, The_Hacker_Antivirus, tm_cfw, Tmntsrv, TmPfw, tmproxy, tmtdi.
V
V3MonNT, V3MonSvc, Vba32ECM, Vba32ifs, Vba32Ldr, Vba32PP3, VBCompManService, VexiraAntivirus, VFILT, VisNetic, vrfwsvc, vsmon, VSSERV.
W
WinAntivirus, WinRoute, wuauserv, wuauserv.
X
xcomm.
These services belong to several security tools, such as antivirus programs and firewalls, among others.
It attempts to download a file from the following websites:
http://8marta.ru/img/path
http://asvt.ru/images
http://avistrade.ru/prog/img/proizvod
http://calimasurf.com/images/base/orig
http://celebrationsinspain.com/images
http://coral-adventures.com/images
http://dearruthie.com/images
http://dmax.ru/images
http://efpa-eg.net/images
http://ferrumcomp.ru/images
http://financialbusiness.ca/images
http://golden-ring.net/images
http://goodbathscents.com/images
http://jamminjo.com/images
http://kmold.biz/images
http://kokon.com/images
http://komt.ru/images/
http://magian.ru/images
http://merkur-akademie.de/images
http://mir-vesov.ru/p/lang/CVS
http://monomah-city.ru/vakans
http://www.nakorable.ru/
http://optimsasia.com/images
http://pvcps.ru/images
http://raz-naraz.wz.cz/html/fanklub
http://redshop.ru/images
http://roszvetmet.com/images
http://schiffsparty.de/bilder/uploads
http://sdom.ru/images
http://service6.valuehost.ru/images
http://spbso.ru/images
http://stroyindustry.ru/service/construction
http://tarkan.ru/images
http://transaerotours.ru/
http://trehrechie.ru/images
http://ww17.turnstylesticketing.com/images
http://twilightzone.cz/distro
http://vladzernoproduct.ru/control/sell/t
http://vniipo.ru/images/_notes
http://voelckergmbh.de/images
http://vserozetki.ru/images
http://vtr-spb.ru/fp/mikrobus/gazel
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau
http://www.belteh.ru/
http://www.bmblawfirm.com/images
http://www.deadlygames.de/DG/BF/BF-Links/clans
http://www.emil-zittau.de/karten
http://www.enertelligence.com/playitsafe/images
http://www.enkor.ru/images
http://www.etype.hostingcity.net/mysql_admin_new/images
https://www.g-antssoft.com/
http://www.ipromocionales.com/images
http://www.katjas-reisen.de/blog/images/colors
http://www.levada.ru/htmlarea/images
http://www.mirage.ru/sport/omega/pic/omega
https://moscowapartments.ru/
http://www.ordendeslichts.de/intern
http://www.pechki.ru/images
http://www.rhone.ch/images
http://www.zdom.ru/
This file could be of any nature, including malware.
Infection strategy
Bagle.HX creates the following files:
HIDR.EXE, in C:\Documents and Settings\%username%\Application Data\hidires. This file is a copy of the worm.
For further references, the variable %path% will be used instead of the full name.
M_HOOK.SYS, in %path%. This file is detected as Rootkit/Akill.
WINTEMS.EXE in the Windows system directory.
Bagle.HX creates the following entries in the Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
drvsyskit = %path%\hidr.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
german.exe = %sysdir%\wintems.exe
where %sysdir% is the Windows system directory.
By creating these entries, Bagle.HX ensures that it is run whenever Windows is started.
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
port=5b7e
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
wdrn=1
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
uid= <random>
Bagle.HX creates the following path in the Windows Registry:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ m_hook
with the necessary entries in order to register itself as a system service.
This service provides the worm with rootkit functionalities, which allow it to hide files, processes and Windows Registry entries.
Further Details
Bagle.HX is written in the programming language Visual C++. This worm is 15,876 bytes in size.
En solution y mette sa:
How to remove Bagle.HX?
As Bagle.HX uses rootkit techniques in order to hide its files and Windows Registry entries, it is necessary to follow the routine below in order to eliminate it:
Restart the computer in the Safe mode. This way, all the files and Windows Registry entries will be visible, as the rootkit is not activated.
Then, carry out an analysis with Panda Antivirus or Panda ActiveScan and eliminate it by following the program's instructions.
Additional notes:
After deleting this malware by following the specified steps, if your computer runs Windows Millennium, click here to find out how to eliminate it from the _Restore folder.
After deleting this malware by following the specified steps, if your computer runs Windows XP, click here to find out how to eliminate it from the _Restore folder.
How can I protect my computer from Bagle.HX?
In order to keep your computer protected, bear the following tips in mind:
Panda Software's TruPreventTM Technologies detected and successfully blocked Bagle.HX, without prior knowledge of the malicious code.
Install a good antivirus in your computer. Click here to get the Panda antivirus solution that best suits your needs.
Keep your antivirus updated. If automatic updates are available, configure your antivirus to use them.
Keep your permanent antivirus protection enabled at all times.
For more detailed information about how to protect your computer against viruses and other threats, click here.
En faite je vien de voir j'en ais plein je sais plus quoi faire...
Le logiciel en ligne est :Panda total scan.il met des truc sur se virus mais c'est en anglais et j'y comprend rien non plus.. je vous le met quand même..
w32/bagle.hx.w... Virus Latent Hide + Info
c:\windows\system32\wintems.exe
hkey_current_user\software\datetime4
En détail technique y mette sa:
Effects
Bagle.HX carries out the following actions:
It has rootkit functionalities, which allow it to hide files, processes and Windows Registry entries.
It attempts to disable the following services:
A
Aavmker4, ABVPN2K, ADBLOCK.DLL, ADFirewall, AFWMCL, Ahnlab, alerter, AlertManger, AntiVir, AntiyFirewall, ARP.DLL, aswMon2, aswRdr, aswTdi, aswUpdSv, Ati, avast!, AVEService, AVExch32Service, AvFlt, Avg7Alrt, Avg7Core, Avg7RsW, Avg7RsXP, Avg7UpdSvc, AvgCore, AvgFsh, AVGFwSrv, AvgFwSvr, AvgServ, AvgTdi, AVIRAMailService, AVIRAService, avpcc, AVUPDService, AVWUpSrv, AvxIni, awhost32.
B
backweb, BackWeb, Bdfndisf, bdftdif, bdss, BlackICE, BsFileSpy, BsFirewall, BsMailProxy.
C
CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, CONTENT.DLL.
D
DefWatch, DNSCACHE.DLL, drwebnet, dvpapi, dvpinit.
E
ewido.
F
firewall, F-Prot, fsbwsys, FSDFWD, F-Secure, FSFW, FSMA, FTPFILT.DLL, FwcAgent, fwdrv.
G
Guard.
H
HSnSFW, HSnSPro, HTMLFILT.DLL, HTTPFILT.DLL.
I
IMAPFILT.DLL, InoRPC, InoRT, InoTask, Ip6Fw, Ip6FwHlp.
K
KAVMonitorService, KAVSvc, KLBLMain, KPfwSvc, KWatch3, KWatchSvc.
M
MAILFILT.DLL, McAfee, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, Microsoft, MonSvcNT, MpfService.
N
navapsvc, NDIS_RD, Ndisuio, Network, nipsvc, NISSERV, NISUM, NNTPFILT.DLL, NOD32ControlCenter, NOD32krn, NOD32Service, Norman, Norton, NPDriver, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService.
O
OfcPfwSvc, Outbreak, Outpost, OutpostFirewall.
P
PASSRV, PAVAGENTE, PavAtScheduler, PAVDRV, PAVFIRES, PAVFNSVR, Pavkre, PavProc, PavProt, PavPrSrv, PavReport, PAVSRV, PCC_PFW, PCCPFW, PersFW, Personal, POP3FILT.DLL, PREVSRV, PROTECT.DLL, PSIMSVC.
Q
qhwscsvc, Quick.
R
ravmon8, RfwService.
S
SAVFMSE, SAVScan, SBService, schscnt, SECRET.DLL, SharedAccess, SmcService, SNDSrvc, SPBBCSvc, SpiderNT, SweepNet, SWEEPSRV.SYS, Symantec.
T
T_H_S_M, The_Hacker_Antivirus, tm_cfw, Tmntsrv, TmPfw, tmproxy, tmtdi.
V
V3MonNT, V3MonSvc, Vba32ECM, Vba32ifs, Vba32Ldr, Vba32PP3, VBCompManService, VexiraAntivirus, VFILT, VisNetic, vrfwsvc, vsmon, VSSERV.
W
WinAntivirus, WinRoute, wuauserv, wuauserv.
X
xcomm.
These services belong to several security tools, such as antivirus programs and firewalls, among others.
It attempts to download a file from the following websites:
http://8marta.ru/img/path
http://asvt.ru/images
http://avistrade.ru/prog/img/proizvod
http://calimasurf.com/images/base/orig
http://celebrationsinspain.com/images
http://coral-adventures.com/images
http://dearruthie.com/images
http://dmax.ru/images
http://efpa-eg.net/images
http://ferrumcomp.ru/images
http://financialbusiness.ca/images
http://golden-ring.net/images
http://goodbathscents.com/images
http://jamminjo.com/images
http://kmold.biz/images
http://kokon.com/images
http://komt.ru/images/
http://magian.ru/images
http://merkur-akademie.de/images
http://mir-vesov.ru/p/lang/CVS
http://monomah-city.ru/vakans
http://www.nakorable.ru/
http://optimsasia.com/images
http://pvcps.ru/images
http://raz-naraz.wz.cz/html/fanklub
http://redshop.ru/images
http://roszvetmet.com/images
http://schiffsparty.de/bilder/uploads
http://sdom.ru/images
http://service6.valuehost.ru/images
http://spbso.ru/images
http://stroyindustry.ru/service/construction
http://tarkan.ru/images
http://transaerotours.ru/
http://trehrechie.ru/images
http://ww17.turnstylesticketing.com/images
http://twilightzone.cz/distro
http://vladzernoproduct.ru/control/sell/t
http://vniipo.ru/images/_notes
http://voelckergmbh.de/images
http://vserozetki.ru/images
http://vtr-spb.ru/fp/mikrobus/gazel
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau
http://www.belteh.ru/
http://www.bmblawfirm.com/images
http://www.deadlygames.de/DG/BF/BF-Links/clans
http://www.emil-zittau.de/karten
http://www.enertelligence.com/playitsafe/images
http://www.enkor.ru/images
http://www.etype.hostingcity.net/mysql_admin_new/images
https://www.g-antssoft.com/
http://www.ipromocionales.com/images
http://www.katjas-reisen.de/blog/images/colors
http://www.levada.ru/htmlarea/images
http://www.mirage.ru/sport/omega/pic/omega
https://moscowapartments.ru/
http://www.ordendeslichts.de/intern
http://www.pechki.ru/images
http://www.rhone.ch/images
http://www.zdom.ru/
This file could be of any nature, including malware.
Infection strategy
Bagle.HX creates the following files:
HIDR.EXE, in C:\Documents and Settings\%username%\Application Data\hidires. This file is a copy of the worm.
For further references, the variable %path% will be used instead of the full name.
M_HOOK.SYS, in %path%. This file is detected as Rootkit/Akill.
WINTEMS.EXE in the Windows system directory.
Bagle.HX creates the following entries in the Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
drvsyskit = %path%\hidr.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
german.exe = %sysdir%\wintems.exe
where %sysdir% is the Windows system directory.
By creating these entries, Bagle.HX ensures that it is run whenever Windows is started.
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
port=5b7e
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
wdrn=1
HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
uid= <random>
Bagle.HX creates the following path in the Windows Registry:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ m_hook
with the necessary entries in order to register itself as a system service.
This service provides the worm with rootkit functionalities, which allow it to hide files, processes and Windows Registry entries.
Further Details
Bagle.HX is written in the programming language Visual C++. This worm is 15,876 bytes in size.
En solution y mette sa:
How to remove Bagle.HX?
As Bagle.HX uses rootkit techniques in order to hide its files and Windows Registry entries, it is necessary to follow the routine below in order to eliminate it:
Restart the computer in the Safe mode. This way, all the files and Windows Registry entries will be visible, as the rootkit is not activated.
Then, carry out an analysis with Panda Antivirus or Panda ActiveScan and eliminate it by following the program's instructions.
Additional notes:
After deleting this malware by following the specified steps, if your computer runs Windows Millennium, click here to find out how to eliminate it from the _Restore folder.
After deleting this malware by following the specified steps, if your computer runs Windows XP, click here to find out how to eliminate it from the _Restore folder.
How can I protect my computer from Bagle.HX?
In order to keep your computer protected, bear the following tips in mind:
Panda Software's TruPreventTM Technologies detected and successfully blocked Bagle.HX, without prior knowledge of the malicious code.
Install a good antivirus in your computer. Click here to get the Panda antivirus solution that best suits your needs.
Keep your antivirus updated. If automatic updates are available, configure your antivirus to use them.
Keep your permanent antivirus protection enabled at all times.
For more detailed information about how to protect your computer against viruses and other threats, click here.
En faite je vien de voir j'en ais plein je sais plus quoi faire...
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 janv. 2008 à 01:29
17 janv. 2008 à 01:29
Salut ! virus ELIBAGLA
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,clique sur "escargar Elibagla"
(le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
> laisse la case "eliminar ficheros automaticamente" cochée
> clique sur"explorar"
> laisse-le travailler
> poste le rapport final qui sera dans c:\infosat.txt
Si, dans le rapport, tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,clique sur "escargar Elibagla"
(le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
> laisse la case "eliminar ficheros automaticamente" cochée
> clique sur"explorar"
> laisse-le travailler
> poste le rapport final qui sera dans c:\infosat.txt
Si, dans le rapport, tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.
corto69
Messages postés
30
Date d'inscription
jeudi 17 janvier 2008
Statut
Membre
Dernière intervention
21 janvier 2008
17 janv. 2008 à 02:40
17 janv. 2008 à 02:40
Salut merci d'avoir répondu aussi vite c'est sympa.. j'ai fait se que tu m'as dit. Tu sait se que sait ses virus et comment j'ai pu l'avoir?? Au faite oui j'ai bien eu un message similaire.. Pour l'instant j'ai rien d'autre à faire??
Bon je te remerci je vais dormir je reviendrais sur le site demain vers 12h..
Merci
Bon je te remerci je vais dormir je reviendrais sur le site demain vers 12h..
Merci
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 janv. 2008 à 07:48
17 janv. 2008 à 07:48
Salut !
voici quelques manips' à faire pour la suite.........
poste le rapport final Elibagla qui sera dans c:\infosat.txt
Ensuite :
IMPORTANT :
Ne pas désactiver la restauration système, tant que le pc n'est pas propre.
télécharge HIJACKTHIS en cliquant sur ce lien
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
IMPERATIF !!
avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!
to be continued..........
voici quelques manips' à faire pour la suite.........
poste le rapport final Elibagla qui sera dans c:\infosat.txt
Ensuite :
IMPORTANT :
Ne pas désactiver la restauration système, tant que le pc n'est pas propre.
télécharge HIJACKTHIS en cliquant sur ce lien
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
IMPERATIF !!
avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!
to be continued..........
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport Elibagla:
Thu Jan 17 02:32:48 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 02:41:04 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\158777.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\46441.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4673977.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4734708.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\53133.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\67922.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\84848.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\96205.EXE --> Eliminado Bagle
Nº Total de Directorios: 12056
Nº Total de Ficheros: 80660
Nº de Ficheros Analizados: 12380
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 8
Thu Jan 17 02:45:10 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 12056
Nº Total de Ficheros: 80607
Nº de Ficheros Analizados: 12371
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Thu Jan 17 02:59:55 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 03:00:04 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:00:09 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:00:16 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:00:28 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:01:04 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 03:01:22 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 12040
Nº Total de Ficheros: 80447
Nº de Ficheros Analizados: 12368
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:02:51 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 07:53:28 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Thu Jan 17 07:55:46 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 02:32:48 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 02:41:04 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\158777.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\46441.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4673977.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\4734708.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\53133.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\67922.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\84848.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\96205.EXE --> Eliminado Bagle
Nº Total de Directorios: 12056
Nº Total de Ficheros: 80660
Nº de Ficheros Analizados: 12380
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 8
Thu Jan 17 02:45:10 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 12056
Nº Total de Ficheros: 80607
Nº de Ficheros Analizados: 12371
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Thu Jan 17 02:59:55 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 03:00:04 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:00:09 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:00:16 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:00:28 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:01:04 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Thu Jan 17 03:01:22 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 12040
Nº Total de Ficheros: 80447
Nº de Ficheros Analizados: 12368
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0
Thu Jan 17 03:02:51 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jan 17 07:53:28 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Thu Jan 17 07:55:46 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.87
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Voici le rapport HijackTHIS:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:23:51, on 17/01/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:23:51, on 17/01/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
En tout cas merci de m'aider c'est franchement cool car je sais vraiment pas comment faire.. Vous pensez que je vais arriver à m'en débarrasser?? C'est quoi ce virus?? Je l'ai attraper comment?? Au faite comme je viens juste d'avoir mon pc j'ai pas eu le temps de faire une copie de restauration de Vista j'espère que sa dérangera pas??? si vous avez besoin de savoir ce que j'ai comme pc c'est un Packard bell MB88-P009. Voilà j'espère à très vite pour que vous puissiez m'aider je suis la toute l'aprem!
Merci.
Merci.
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 janv. 2008 à 14:26
17 janv. 2008 à 14:26
il vas faloir que je m'absente, je reviens vers 16h00, ne t'inquietes pas, on va l'avoir cette bestiolle ;-)
juste que comme c'est vista, sa risque d'etre plus dur, mais s'il le faut, j demaanderais à un spécialiste vista !
@ +
juste que comme c'est vista, sa risque d'etre plus dur, mais s'il le faut, j demaanderais à un spécialiste vista !
@ +
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 janv. 2008 à 18:10
17 janv. 2008 à 18:10
re :
tu es sur que Avast est activé ?
le seul exe avast qui apparait est ashDisp.exe
c'est celui qui affiche l' icône dans la barre des tâches.
il reste des vestiges de Norton... tu l'as viré pour avast ? il faudra mieux nettoyer après !
sa me met un genre de avast n'est pas un application win32 valide ça te le fait encore ?
win32:beagle-yn[wrm] à pour caracteristique de détruire les antivirus entre autre....
il faudra réinstaller Avast !
prends le ici, ensuite
Pour supprimer proprement Avast
démarrer /panneau de config/ ajout et suppression de programmes ( je ne sais pas si c'est pareil pour vista )
redémarre ton pc comme demandé et supprime le dossier " C:\Program Files\Alwils Software "
Ou bien, tu peux aussi utiliser le désinstalleur d Avast: https://www.avast.com/fr-fr/uninstall-utility
http://www.commentcamarche.net/telecharger/telecharger 151 avast
Seulement après, tu réinstalles Avast que tu auras téléchargé !
tiens moi au courant !
si tu n'arives pas à l'installer, c'est qui il à encore une infection .
@ suivre.................
tu es sur que Avast est activé ?
le seul exe avast qui apparait est ashDisp.exe
c'est celui qui affiche l' icône dans la barre des tâches.
il reste des vestiges de Norton... tu l'as viré pour avast ? il faudra mieux nettoyer après !
sa me met un genre de avast n'est pas un application win32 valide ça te le fait encore ?
win32:beagle-yn[wrm] à pour caracteristique de détruire les antivirus entre autre....
il faudra réinstaller Avast !
prends le ici, ensuite
Pour supprimer proprement Avast
démarrer /panneau de config/ ajout et suppression de programmes ( je ne sais pas si c'est pareil pour vista )
redémarre ton pc comme demandé et supprime le dossier " C:\Program Files\Alwils Software "
Ou bien, tu peux aussi utiliser le désinstalleur d Avast: https://www.avast.com/fr-fr/uninstall-utility
http://www.commentcamarche.net/telecharger/telecharger 151 avast
Seulement après, tu réinstalles Avast que tu auras téléchargé !
tiens moi au courant !
si tu n'arives pas à l'installer, c'est qui il à encore une infection .
@ suivre.................
j'ai essayer d'installer apres avoir desinstaller et redémarrer et a la fin de l'installation sa a couper et y a elibag qui c'est mis en route.. je viens de rééssayer mais cette fois ci l'installation sa bloque à la fin..
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 janv. 2008 à 18:37
17 janv. 2008 à 18:37
peter_schmeichel@hotmail.fr, tu es corto69 ?
si oui, je ne me sers pas de MSN !
on peux rester ici !
je regarde, je reviens plus tard...
si oui, je ne me sers pas de MSN !
on peux rester ici !
je regarde, je reviens plus tard...
j'ai trop pas de chance sur mon otre pc j'ai du le formater et quand je reinstalle mon xp ba il me demande la clef dactivation mais elle marche plus celle que j'avais.. c'est vraiment pas mon jour!! tu c'est pas ou je peux en trouver une ?? apparement je l'ai donné à trop de gens du coup elle est plus valable..
c'est bon heuresement j'avais 2 windows installé dessus du coup j'utilise le xp porfessionnel fin de discussion sur ce sujet par contre sur mon autre je panique car je sais vraiment pas quoi faire avec ce virus.. je compte sur toi!!lol
Merci encore (jvais pas tarder à partir jrevien demain toute la journée si tu peux me dire les heures où tu seras présent enfin si sa t'embète pas trop..)
Merci encore (jvais pas tarder à partir jrevien demain toute la journée si tu peux me dire les heures où tu seras présent enfin si sa t'embète pas trop..)
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
17 janv. 2008 à 21:10
17 janv. 2008 à 21:10
OK ! je serais là a partir de 09h00
corto69
Messages postés
30
Date d'inscription
jeudi 17 janvier 2008
Statut
Membre
Dernière intervention
21 janvier 2008
18 janv. 2008 à 13:08
18 janv. 2008 à 13:08
Salut jorginho67.
Désolé ce matin j'ai eu un empechement donc j'ai pas pu être présent...
Par contre je suis là tout l'aprem.. alors si tu es disponible on peut se mettre au boulot..lol
En attente d'un message de ta part pour savoir ce qu'il faut que je fasse je te souhaite une bonne journée.
Désolé ce matin j'ai eu un empechement donc j'ai pas pu être présent...
Par contre je suis là tout l'aprem.. alors si tu es disponible on peut se mettre au boulot..lol
En attente d'un message de ta part pour savoir ce qu'il faut que je fasse je te souhaite une bonne journée.
jorginho67
Messages postés
14716
Date d'inscription
mardi 11 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
11 février 2011
1 169
18 janv. 2008 à 13:37
18 janv. 2008 à 13:37
salut corto ...
on continue !
Pour Vista !
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
regarde ce tuto http://www.libellules.ch/adc.php
Procédure "clean" de Malekal_morte sous VISTA.
1) Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
http://img227.imageshack.us/img227/9384/screenshot149ih1.gif
2) Ouvre le dossier « clean » qui se trouve sur ton bureau.
Clic-droit sur l'icône ou l'EXE et choisir "Exécuter en tant qu'administrateur",
Double-clic sur « clean.cmd ».
Choisis l’option 1.
Clean va travailler. Il va produire un rapport.
Il se trouve ici : Clic sur « Poste de travail » , double-clic sur disque « C / » double-clic sur « rapport_clean.txt » en faire un copier/coller.
to be continued.....
on continue !
Pour Vista !
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
regarde ce tuto http://www.libellules.ch/adc.php
Procédure "clean" de Malekal_morte sous VISTA.
1) Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
http://img227.imageshack.us/img227/9384/screenshot149ih1.gif
2) Ouvre le dossier « clean » qui se trouve sur ton bureau.
Clic-droit sur l'icône ou l'EXE et choisir "Exécuter en tant qu'administrateur",
Double-clic sur « clean.cmd ».
Choisis l’option 1.
Clean va travailler. Il va produire un rapport.
Il se trouve ici : Clic sur « Poste de travail » , double-clic sur disque « C / » double-clic sur « rapport_clean.txt » en faire un copier/coller.
to be continued.....
corto69
Messages postés
30
Date d'inscription
jeudi 17 janvier 2008
Statut
Membre
Dernière intervention
21 janvier 2008
18 janv. 2008 à 14:02
18 janv. 2008 à 14:02
Ma case était déjà desactiver et pourtant j'ai quand même le contrôle de compte qui se met en route à chaque fois..c'est bizar je fais quoi alors??