HELP !!!! Rapport Hijackthis + Navilog
Fermé
chaos2809
-
4 avril 2008 à 10:06
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 4 avril 2008 à 15:55
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 4 avril 2008 à 15:55
A voir également:
- HELP !!!! Rapport Hijackthis + Navilog
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- On vous a donné accès à un fichier rapport. il est partagé avec plusieurs personnes sur cet espace pix cloud. répondez aux questions - Forum Cloud
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- Rapport d'erreur windows - Guide
14 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 10:12
4 avril 2008 à 10:12
slt,
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Voici dans un premier temps le rapport de Comboxfix : Par contre lors du redémarrage, il est tres lent a se connecter contrairement a d'habitude.
ComboFix 08-04-03.3 - PIGEAT 2008-04-04 10:15:53.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.569 [GMT 2:00]
Endroit: C:\KillbagleFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\hldrrr.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_srosa
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-04 to 2008-04-04 ))))))))))))))))))))))))))))))))))))
.
2008-04-04 10:15 . 2008-04-04 10:15 1,612,377 --a------ C:\KillbagleFix.exe
2008-04-04 09:57 . 2008-04-04 10:02 <REP> d-------- C:\Program Files\Navilog1
2008-04-04 09:56 . 2008-04-04 09:56 567,895 --a------ C:\Navilog1.exe
2008-04-04 08:05 . 2006-09-22 03:07 688,128 --ah----- C:\WINDOWS\system32\drivers\mdelk.exe
2008-04-04 08:03 . 2008-04-04 08:03 <REP> d-------- C:\WINDOWS\system32\drivers\downld
2008-04-03 17:24 . 2008-04-04 08:51 <REP> d-------- C:\Program Files\Everstrike Software
2008-04-03 16:53 . 2008-04-03 16:53 72 --a------ C:\WINDOWS\gpigeat@guintoli.fr
2008-04-03 16:18 . 2008-04-03 16:18 <REP> d-------- C:\Documents and Settings\PIJAT\Cryptonit
2008-04-03 16:10 . 2008-04-03 16:10 <REP> d-------- C:\Documents and Settings\PIJAT\Application Data\WinSesame
2008-04-03 16:10 . 2008-04-03 16:10 <REP> d-------- C:\Documents and Settings\PIJAT\Application Data\T.Aragon
2008-03-28 16:57 . 2008-03-28 16:57 <REP> d-------- C:\Documents and Settings\PIJAT\Application Data\Apple Computer
2008-03-28 16:56 . 2008-04-03 13:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-28 16:56 . 2008-03-28 16:56 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-28 16:55 . 2008-03-28 16:55 <REP> d-------- C:\Program Files\QuickTime
2008-03-28 16:55 . 2008-03-28 16:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-03-28 16:54 . 2008-03-28 16:54 <REP> d-------- C:\Program Files\Apple Software Update
2008-03-28 16:54 . 2008-03-28 16:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d--h----- C:\Documents and Settings\PIGEAT\Voisinage r‚seau
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d--h----- C:\Documents and Settings\PIGEAT\Voisinage d'impression
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d--h----- C:\Documents and Settings\PIGEAT\ModŠles
2008-03-28 13:20 . 2006-01-31 04:09 <REP> dr------- C:\Documents and Settings\PIGEAT\Mes documents
2008-03-28 13:20 . 2006-01-31 04:09 <REP> dr------- C:\Documents and Settings\PIGEAT\Menu D‚marrer
2008-03-28 13:20 . 2006-01-31 04:09 <REP> dr------- C:\Documents and Settings\PIGEAT\Favoris
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d-------- C:\Documents and Settings\PIGEAT\Bureau
2008-03-28 12:27 . 2008-04-04 10:04 <REP> d-------- C:\HiJackThis
2008-03-06 15:05 . 2008-03-06 15:05 <REP> d-------- C:\Program Files\FLV Player
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 05:59 --------- d-----w C:\Program Files\Symantec AntiVirus
2008-04-03 15:21 --------- d-----w C:\Program Files\TrueCrypt
.
((((((((((((((((((((((((((((( snapshot@2008-04-04_ 8.56.41,97 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\FppIconOverlay]
@={8DB493EA-B2AD-42EC-AC53-3D95A528A3B3}
[HKEY_CLASSES_ROOT\CLSID\{8DB493EA-B2AD-42EC-AC53-3D95A528A3B3}]
2005-01-22 16:32 274510 --------- C:\PROGRA~1\EVERST~1\FOLDER~1\FPP_IC~1.DLL
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:45 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 06:34 16143872 C:\WINDOWS\RTHDCPL.EXE]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26 118784]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 09:03 761946]
"PSUtility"="C:\AddOn\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 11:57 118784]
"LoadFUJ02E3"="C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 14:08 73728]
"IndicatorUtility"="C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-09-10 01:12 81920]
"LoadFujitsuQuickTouch"="C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 15:21 353792]
"LoadBtnHnd"="C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 15:20 61440]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 13:32 89541 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-05-18 15:57 188416]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"ccApp"="c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 20:26 52896]
"vptray"="c:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-11-14 16:51 125536]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 16:27 385024]
"winsesame_del"="C:\Program Files\WinSesame\effaceur.exe" [ ]
"FCPAgent"="C:\Program Files\Everstrike Software\Folder Crypto Password\fppservice.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FJWSEL]
FJWSWNP.dll 2006-06-29 15:45 32768 C:\WINDOWS\system32\FJWSWNP.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
PSUWNP.dll 2006-06-02 17:04 32768 C:\WINDOWS\system32\PSUWNP.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AllAlertsDisabled"=dword:00000001
"TermService"=dword:00000001
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R2 SU;SU Service;C:\WINDOWS\SUSS.EXE [1997-06-04 01:00]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;C:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 23:08]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 12:15]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34b8f9fc-8d48-11dc-8123-00c0a8ebf494}]
\Shell\AutoRun\command - E:\nideiect.com
\Shell\explore\Command - E:\nideiect.com
\Shell\open\Command - E:\nideiect.com
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-01 10:36:58 C:\WINDOWS\Tasks\Spybot.job"
- C:\WINDOWS\scanspybot.bat
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 10:20:32
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-04 10:25:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-04 08:24:57
ComboFix2.txt 2008-04-04 06:56:50
Pre-Run: 42,686,246,912 octets libres
Post-Run: 42,463,354,880 octets libres
ComboFix 08-04-03.3 - PIGEAT 2008-04-04 10:15:53.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.569 [GMT 2:00]
Endroit: C:\KillbagleFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\hldrrr.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_srosa
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-04 to 2008-04-04 ))))))))))))))))))))))))))))))))))))
.
2008-04-04 10:15 . 2008-04-04 10:15 1,612,377 --a------ C:\KillbagleFix.exe
2008-04-04 09:57 . 2008-04-04 10:02 <REP> d-------- C:\Program Files\Navilog1
2008-04-04 09:56 . 2008-04-04 09:56 567,895 --a------ C:\Navilog1.exe
2008-04-04 08:05 . 2006-09-22 03:07 688,128 --ah----- C:\WINDOWS\system32\drivers\mdelk.exe
2008-04-04 08:03 . 2008-04-04 08:03 <REP> d-------- C:\WINDOWS\system32\drivers\downld
2008-04-03 17:24 . 2008-04-04 08:51 <REP> d-------- C:\Program Files\Everstrike Software
2008-04-03 16:53 . 2008-04-03 16:53 72 --a------ C:\WINDOWS\gpigeat@guintoli.fr
2008-04-03 16:18 . 2008-04-03 16:18 <REP> d-------- C:\Documents and Settings\PIJAT\Cryptonit
2008-04-03 16:10 . 2008-04-03 16:10 <REP> d-------- C:\Documents and Settings\PIJAT\Application Data\WinSesame
2008-04-03 16:10 . 2008-04-03 16:10 <REP> d-------- C:\Documents and Settings\PIJAT\Application Data\T.Aragon
2008-03-28 16:57 . 2008-03-28 16:57 <REP> d-------- C:\Documents and Settings\PIJAT\Application Data\Apple Computer
2008-03-28 16:56 . 2008-04-03 13:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-28 16:56 . 2008-03-28 16:56 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-28 16:55 . 2008-03-28 16:55 <REP> d-------- C:\Program Files\QuickTime
2008-03-28 16:55 . 2008-03-28 16:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-03-28 16:54 . 2008-03-28 16:54 <REP> d-------- C:\Program Files\Apple Software Update
2008-03-28 16:54 . 2008-03-28 16:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d--h----- C:\Documents and Settings\PIGEAT\Voisinage r‚seau
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d--h----- C:\Documents and Settings\PIGEAT\Voisinage d'impression
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d--h----- C:\Documents and Settings\PIGEAT\ModŠles
2008-03-28 13:20 . 2006-01-31 04:09 <REP> dr------- C:\Documents and Settings\PIGEAT\Mes documents
2008-03-28 13:20 . 2006-01-31 04:09 <REP> dr------- C:\Documents and Settings\PIGEAT\Menu D‚marrer
2008-03-28 13:20 . 2006-01-31 04:09 <REP> dr------- C:\Documents and Settings\PIGEAT\Favoris
2008-03-28 13:20 . 2006-01-31 04:09 <REP> d-------- C:\Documents and Settings\PIGEAT\Bureau
2008-03-28 12:27 . 2008-04-04 10:04 <REP> d-------- C:\HiJackThis
2008-03-06 15:05 . 2008-03-06 15:05 <REP> d-------- C:\Program Files\FLV Player
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 05:59 --------- d-----w C:\Program Files\Symantec AntiVirus
2008-04-03 15:21 --------- d-----w C:\Program Files\TrueCrypt
.
((((((((((((((((((((((((((((( snapshot@2008-04-04_ 8.56.41,97 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\FppIconOverlay]
@={8DB493EA-B2AD-42EC-AC53-3D95A528A3B3}
[HKEY_CLASSES_ROOT\CLSID\{8DB493EA-B2AD-42EC-AC53-3D95A528A3B3}]
2005-01-22 16:32 274510 --------- C:\PROGRA~1\EVERST~1\FOLDER~1\FPP_IC~1.DLL
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:45 1211176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 06:34 16143872 C:\WINDOWS\RTHDCPL.EXE]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26 118784]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 09:03 761946]
"PSUtility"="C:\AddOn\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 11:57 118784]
"LoadFUJ02E3"="C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 14:08 73728]
"IndicatorUtility"="C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-09-10 01:12 81920]
"LoadFujitsuQuickTouch"="C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 15:21 353792]
"LoadBtnHnd"="C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 15:20 61440]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 13:32 89541 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-05-18 15:57 188416]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"ccApp"="c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 20:26 52896]
"vptray"="c:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-11-14 16:51 125536]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 16:27 385024]
"winsesame_del"="C:\Program Files\WinSesame\effaceur.exe" [ ]
"FCPAgent"="C:\Program Files\Everstrike Software\Folder Crypto Password\fppservice.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FJWSEL]
FJWSWNP.dll 2006-06-29 15:45 32768 C:\WINDOWS\system32\FJWSWNP.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
PSUWNP.dll 2006-06-02 17:04 32768 C:\WINDOWS\system32\PSUWNP.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AllAlertsDisabled"=dword:00000001
"TermService"=dword:00000001
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R2 SU;SU Service;C:\WINDOWS\SUSS.EXE [1997-06-04 01:00]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;C:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 23:08]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 12:15]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34b8f9fc-8d48-11dc-8123-00c0a8ebf494}]
\Shell\AutoRun\command - E:\nideiect.com
\Shell\explore\Command - E:\nideiect.com
\Shell\open\Command - E:\nideiect.com
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-01 10:36:58 C:\WINDOWS\Tasks\Spybot.job"
- C:\WINDOWS\scanspybot.bat
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 10:20:32
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-04 10:25:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-04 08:24:57
ComboFix2.txt 2008-04-04 06:56:50
Pre-Run: 42,686,246,912 octets libres
Post-Run: 42,463,354,880 octets libres
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 10:36
4 avril 2008 à 10:36
ok j'avais mal lu
fias tout ceci car tu es infécté par bagle qui est coriace!!
---------
Fais DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure
----------
* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse
Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!!
------------
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
secuser en ligne :
http://www.secuser.com/outils/antivirus.htm
scan en ligne firefox
https://www.trendmicro.com/fr_fr/business.html
fias tout ceci car tu es infécté par bagle qui est coriace!!
---------
Fais DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure
----------
* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse
Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!!
------------
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
secuser en ligne :
http://www.secuser.com/outils/antivirus.htm
scan en ligne firefox
https://www.trendmicro.com/fr_fr/business.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 12:24
4 avril 2008 à 12:24
tu as les rapport elibaga et bitdefender???
de Bitdefender il ne m'a rien montré ds les fichiers infectés il mettait trojan.bagle, la je suis en train de lancer l analyse de kaspersky et je fais en suivant elibagla
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 12:49
4 avril 2008 à 12:49
fais dans l'ordre! elibaga d'abord!!!
Voici le rapport de elibagla :
Fri Apr 04 08:32:58 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.21
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Fri Apr 04 08:33:32 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4574
Nº Total de Ficheros: 52844
Nº de Ficheros Analizados: 9220
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fri Apr 04 13:51:10 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Apr 04 13:51:15 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4621
Nº Total de Ficheros: 50283
Nº de Ficheros Analizados: 9481
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Qu'est ce que ca dit ??
Fri Apr 04 08:32:58 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.21
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Fri Apr 04 08:33:32 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4574
Nº Total de Ficheros: 52844
Nº de Ficheros Analizados: 9220
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Fri Apr 04 13:51:10 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Apr 04 13:51:15 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4621
Nº Total de Ficheros: 50283
Nº de Ficheros Analizados: 9481
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Qu'est ce que ca dit ??
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 14:15
4 avril 2008 à 14:15
parfait maintenat colle un scan en ligne
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 14:31
4 avril 2008 à 14:31
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
eliminado = eliminé donc normalement oui mais fais le scan en ligne pour voir
eliminado = eliminé donc normalement oui mais fais le scan en ligne pour voir
j'etais en train de faire le scan de bitdefender, il m'avais trouvé un virus ds System Volume Information\restore ..., le fichier etait A0026194.exe le nom du virus : Trojan.Downloader.bagle.HD, et la 5 minutes apres (alors qu'il continuait a analyser) ecran bleu et redemarrage auto !!
Je commence a desesperer, sinon 2 minutes apres le deùarrage une fenetre s'ouvre en bas a droite et me dit "Norton symantec auto protect est desactivé"
Que dois je faire ?
Je commence a desesperer, sinon 2 minutes apres le deùarrage une fenetre s'ouvre en bas a droite et me dit "Norton symantec auto protect est desactivé"
Que dois je faire ?
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 15:11
4 avril 2008 à 15:11
analyse sur virus total ces fichiers: https://www.virustotal.com/gui/
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 avril 2008 à 15:55
4 avril 2008 à 15:55
recommence
_________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________
refais elibaga
___________
desinstalle norton pour l'instant
et mets antivir et colle le rapport:
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
_________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________
refais elibaga
___________
desinstalle norton pour l'instant
et mets antivir et colle le rapport:
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)