HELP !!!! Rapport Hijackthis + NavilogFermé

Question

Bonjour à tous, 
depuis que j'ai installé un petit freeware ce matin c'est la vrai pagaille sur mon pc
Mon pc rame, ds les processus il y a quelque chose de bizarre : hldrrr.exe qui prend pas mal de ressource.
J'ai essayé de le fixer avec Killfix mais il ne le voit pas.
J'ai redémarré mon pc et la surprise il ne voulait quand mode sans echec et apres plusieurs tentatives ca y est j'arrive de nouveau a redemarrer.

Je vous poste les rapports, merci d'avance de votre aide qui je l'espere sera fructueuse.

Navilog : 

Search Navipromo version 3.5.2 commencé le 2008-04-04 à  9:57:31.98

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "" 

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\PIJAT\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\PIJAT\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\PIJAT\menudm~1\progra~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\PIJAT\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\a\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\PIJAT\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\PIJAT\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\a\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\PIJAT\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 2008-04-04 à 10:01:35.28 ***

 
Deuxieme scan avec Hijackthis: 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:04, on 2008-04-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\SUSS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\internet explorer\iexplore.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.guintoli.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;info;anatole;enavant;www.enavant.fr;dc-seg*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] c:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winsesame_del] C:\Program Files\WinSesame\effaceur.exe
O4 - HKLM\..\Run: [FCPAgent] C:\Program Files\Everstrike Software\Folder Crypto Password\fppservice.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: OKI LPR Utility.lnk = C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.fr
O17 - HKLM\Software\..\Telephony: DomainName = intranet.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.fr
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - c:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - c:\Program Files\Symantec AntiVirus\Rtvscan.exe

jlpjlp · Answer

slt,


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic 

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider. 
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. 

__________

 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

chaos2809 · Answer

Voici dans un premier temps le rapport de Comboxfix : Par contre lors du redémarrage, il est tres lent a se connecter contrairement a d'habitude. ComboFix 08-04-03.3 - PIGEAT 2008-04-04 10:15:53.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.569 [GMT 2:00] Endroit: C:\KillbagleFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\hldrrr.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_srosa ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-04 to 2008-04-04 )))))))))))))))))))))))))))))))))))) . 2008-04-04 10:15 . 2008-04-04 10:15 1,612,377 --a------ C:\KillbagleFix.exe 2008-04-04 09:57 . 2008-04-04 10:02 d-------- C:\Program Files\Navilog1 2008-04-04 09:56 . 2008-04-04 09:56 567,895 --a------ C:\Navilog1.exe 2008-04-04 08:05 . 2006-09-22 03:07 688,128 --ah----- C:\WINDOWS\system32\drivers\mdelk.exe 2008-04-04 08:03 . 2008-04-04 08:03 d-------- C:\WINDOWS\system32\drivers\downld 2008-04-03 17:24 . 2008-04-04 08:51 d-------- C:\Program Files\Everstrike Software 2008-04-03 16:53 . 2008-04-03 16:53 72 --a------ C:\WINDOWS\gpigeat@guintoli.fr 2008-04-03 16:18 . 2008-04-03 16:18 d-------- C:\Documents and Settings\PIJAT\Cryptonit 2008-04-03 16:10 . 2008-04-03 16:10 d-------- C:\Documents and Settings\PIJAT\Application Data\WinSesame 2008-04-03 16:10 . 2008-04-03 16:10 d-------- C:\Documents and Settings\PIJAT\Application Data\T.Aragon 2008-03-28 16:57 . 2008-03-28 16:57 d-------- C:\Documents and Settings\PIJAT\Application Data\Apple Computer 2008-03-28 16:56 . 2008-04-03 13:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-28 16:56 . 2008-03-28 16:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-03-28 16:55 . 2008-03-28 16:55 d-------- C:\Program Files\QuickTime 2008-03-28 16:55 . 2008-03-28 16:55 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-03-28 16:54 . 2008-03-28 16:54 d-------- C:\Program Files\Apple Software Update 2008-03-28 16:54 . 2008-03-28 16:54 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2008-03-28 13:20 . 2006-01-31 04:09 d--h----- C:\Documents and Settings\PIGEAT\Voisinage r‚seau 2008-03-28 13:20 . 2006-01-31 04:09 d--h----- C:\Documents and Settings\PIGEAT\Voisinage d'impression 2008-03-28 13:20 . 2006-01-31 04:09 d--h----- C:\Documents and Settings\PIGEAT\ModŠles 2008-03-28 13:20 . 2006-01-31 04:09 dr------- C:\Documents and Settings\PIGEAT\Mes documents 2008-03-28 13:20 . 2006-01-31 04:09 dr------- C:\Documents and Settings\PIGEAT\Menu D‚marrer 2008-03-28 13:20 . 2006-01-31 04:09 dr------- C:\Documents and Settings\PIGEAT\Favoris 2008-03-28 13:20 . 2006-01-31 04:09 d-------- C:\Documents and Settings\PIGEAT\Bureau 2008-03-28 12:27 . 2008-04-04 10:04 d-------- C:\HiJackThis 2008-03-06 15:05 . 2008-03-06 15:05 d-------- C:\Program Files\FLV Player . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-04 05:59 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-04-03 15:21 --------- d-----w C:\Program Files\TrueCrypt . ((((((((((((((((((((((((((((( snapshot@2008-04-04_ 8.56.41,97 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\FppIconOverlay] @={8DB493EA-B2AD-42EC-AC53-3D95A528A3B3} [HKEY_CLASSES_ROOT\CLSID\{8DB493EA-B2AD-42EC-AC53-3D95A528A3B3}] 2005-01-22 16:32 274510 --------- C:\PROGRA~1\EVERST~1\FOLDER~1\FPP_IC~1.DLL [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:45 1211176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 06:34 16143872 C:\WINDOWS\RTHDCPL.EXE] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26 118784] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 09:03 761946] "PSUtility"="C:\AddOn\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 11:57 118784] "LoadFUJ02E3"="C:\Program Files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 14:08 73728] "IndicatorUtility"="C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-09-10 01:12 81920] "LoadFujitsuQuickTouch"="C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 15:21 353792] "LoadBtnHnd"="C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 15:20 61440] "AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 13:32 89541 C:\WINDOWS\AGRSMMSG.exe] "LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-05-18 15:57 188416] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048] "ccApp"="c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 20:26 52896] "vptray"="c:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-11-14 16:51 125536] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 16:27 385024] "winsesame_del"="C:\Program Files\WinSesame\effaceur.exe" [ ] "FCPAgent"="C:\Program Files\Everstrike Software\Folder Crypto Password\fppservice.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\FJWSEL] FJWSWNP.dll 2006-06-29 15:45 32768 C:\WINDOWS\system32\FJWSWNP.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\PSUTY] PSUWNP.dll 2006-06-02 17:04 32768 C:\WINDOWS\system32\PSUWNP.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal ga.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AllAlertsDisabled"=dword:00000001 "TermService"=dword:00000001 "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Microsoft ActiveSync apimgr.exe"= C:\Program Files\Microsoft ActiveSync apimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R2 SU;SU Service;C:\WINDOWS\SUSS.EXE [1997-06-04 01:00] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;C:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 23:08] R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 12:15] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34b8f9fc-8d48-11dc-8123-00c0a8ebf494}] \Shell\AutoRun\command - E: ideiect.com \Shell\explore\Command - E: ideiect.com \Shell\open\Command - E: ideiect.com . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-04-01 10:36:58 C:\WINDOWS\Tasks\Spybot.job" - C:\WINDOWS\scanspybot.bat . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-04 10:20:32 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . c:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE c:\Program Files\Symantec AntiVirus\SavRoam.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\PROGRA~1\MI3AA1~1 apimgr.exe C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe C:\Program Files\3M\PSNLite\PsnLite.exe C:\PROGRA~1\3M\PSNLite\PSNGive.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe . ************************************************************************** . Temps d'accomplissement: 2008-04-04 10:25:00 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-04 08:24:57 ComboFix2.txt 2008-04-04 06:56:50 Pre-Run: 42,686,246,912 octets libres Post-Run: 42,463,354,880 octets libres

jlpjlp · Answer

ok j'avais mal lu

fias tout ceci car tu es infécté par bagle qui est coriace!!


---------


Fais DEMARRER puis EXECUTER et tape mrt puis clique sur ok et suis la procedure 

---------- 


* Téléchargez ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, placez le sur votre bureau. 
* Double-cliquez dessus pour l'ouvrir 
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ 
* Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée 
* Cliquez sur le bouton Explorar pour lancer l'analyse 

Si, dans le rapport,elibaga tu vois un texte semblable à celui-ci 

Por favor, envienos una muestra del fichero 
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 
a "virus@satinfo.es". Gracias; 

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es). 


et ils mettront a jour elibaga dans les 48 heures ce qui permettra de virer le virus que tu as!!! 

------------ 


colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 


secuser en ligne : 
http://www.secuser.com/outils/antivirus.htm 

scan en ligne firefox 

https://www.trendmicro.com/fr_fr/business.html

chaos2809 · Answer

Bitdefender a trouvé 2 virus et 7 fichiers infectés qu'il a du deinfecter, enfin j'espere.

jlpjlp · Answer

tu as les rapport elibaga et bitdefender???

chaos2809 · Answer

de Bitdefender il ne m'a rien montré ds les fichiers infectés il mettait trojan.bagle, la je suis en train de lancer l analyse de kaspersky et je fais en suivant elibagla

jlpjlp · Answer

fais dans l'ordre! elibaga d'abord!!!

chaos2809 · Answer

Voici le rapport de elibagla : 


	  Fri Apr 04 08:32:58 2008
EliBagle v11.21  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.21
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Fri Apr 04 08:33:32 2008
EliBagle v11.21  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4574
Nº Total de Ficheros:      52844
Nº de Ficheros Analizados: 9220
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Apr 04 13:51:10 2008
EliBagle v11.21  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Apr 04 13:51:15 2008
EliBagle v11.21  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4621
Nº Total de Ficheros:      50283
Nº de Ficheros Analizados: 9481
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0


Qu'est ce que ca dit ??

jlpjlp · Answer

parfait maintenat colle un scan en ligne

chaos2809 · Answer

ok je le lance, mais tu crois que le virus a ete elliminié ?

jlpjlp · Answer

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle 




eliminado = eliminé donc normalement oui mais fais le scan en ligne pour voir

chaos2809 · Answer

j'etais en train de faire le scan de bitdefender, il m'avais trouvé un virus ds System Volume Information\restore ..., le fichier etait A0026194.exe le nom du virus : Trojan.Downloader.bagle.HD, et la 5 minutes apres (alors qu'il continuait a analyser) ecran bleu et redemarrage auto !!

Je commence a desesperer, sinon 2 minutes apres le deùarrage une fenetre s'ouvre en bas a droite et me dit "Norton symantec auto protect est desactivé"

Que dois je faire ?

jlpjlp · Answer

analyse sur virus total ces fichiers: https://www.virustotal.com/gui/

C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld

jlpjlp · Answer

recommence





_________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

__________ 

refais elibaga

___________
desinstalle norton pour l'instant 

et mets antivir et colle le rapport:

https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)

HELP !!!! Rapport Hijackthis + Navilog

14 réponses

Discussions similaires

Newsletters