Infection par BagleRésolu/Fermé

Question

Bonjour,
voilà j'ai lancé une analyse hier avec l'antivirus/firewall de Orange et voilà ce qu'il me trouve 

Type d'analyse: Effectuer une analyse complète de l'ordinateur
Cible : C:\ + système + rootkits
Résultat: 3 antiprogramme(s) détecté(s)
Trojan-Downloader.Win32.Bagle.mm (virus)

    * C:\sauvegarde\WINDOWS\system32\drivers\hldrrr.exe Action : renommé
    * C:\sauvegarde\WINDOWS\system32\drivers\mdelk.exe Action : renommé
    * C:\sauvegarde\WINDOWS\system32\drivers\srosa.sys Action : renommé

Programme à risque détecté
RiskTool.Win32.Reboot.f (riskware)

    * C:\sauvegarde\Program Files\Navilog1\reboot.exe 

Statistiques
Analysés:

    * Fichiers: 306345
    * Non analysés: 18 

Résultat:

    * Virus: 3
    * Spyware: 0
    * Eléments suspects: 0
    * Programme à risque: 1 

Actions:

    * Nettoyés: 0
    * Renommés: 3
    * Supprimés: 0
    * Quarantaine: 0
    * Echec: 0 

Secteurs d'amorçage:

    * Analysés: 1
    * Infectés: 0
    * Eléments suspects: 0
    * Nettoyés: 0 

Fichiers non analysés:

    * Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\HIBERFIL.SYS
    * Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\PAGEFILE.SYS
    * Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
    * Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * Impossible d'ouvrir le fichier dans l'archive C:\SAUVEGARDE\WINDOWS\ALCRMV.EXE.
    * Impossible d'ouvrir le fichier dans l'archive C:\SAUVEGARDE\WINDOWS\SYSTEM32\RTLCPAPI.DLL.
    * Impossible d'ouvrir le fichier dans l'archive C:\SAUVEGARDE\PROGRAM FILES\SPYWARE DOCTOR\UNINS000.MSG.
    * Impossible de lire le fichier C:\sauvegarde\Program Files\Fichiers communs\Adobe\Installers\Adobe Flash CS3 9.0.log.gz\Adobe Flash CS3 9.0.log. [F-Secure Libra]
    * Impossible de lire le fichier C:\sauvegarde\Program Files\Fichiers communs\Adobe\Installers\Adobe Flash CS3 Professional 9.0.0.log.gz\Adobe Flash CS3 Professional 9.0.0.log. [F-Secure Orion]
    * Le fichier C:\sauvegarde\DRIVERS\OTHER.EXE\BIOSLOCK.PIF est crypté.
    * Le fichier C:\sauvegarde\DRIVERS\MCDBF\SOURCE1\OTHER.EXE\BIOSLOCK.PIF est crypté.
    * Le fichier C:\sauvegarde\DRIVERS\MCDBF\SOURCE1\TSADDON.EXE\UNISHHS.ARJ\UPDTAT.BAT est crypté.
    * Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\VIRTUALDUB_VIRTUALDUB_1.6.9_FRANCAIS_10126.EXE.
    * Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\NERO\NERO8\INCD\DMA.BIN.
    * Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\NERO\NERO8\INCD\GAA.BIN.
    * Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\NERO\NERO8\INCD\LGC.BIN.
    * L'analyse de C:\Documents and Settings\Propriétaire\Mes documents\Docs de Franck\Programmes\gimp_2_4_5.exe a été interrompue. [F-Secure AVP]
    * L'analyse de C:\Documents and Settings\Propriétaire\Mes documents\Docs de Franck\Programmes\OOo_2.4.0_Win32Intel_install_wJRE_fr.exe a été interrompue. [F-Secure AVP]

Options
Version des définitions:

    * Virus: 2008-04-21_07
    * Spyware: 2008-04-21_07 

Moteurs d'analyse :

    * F-Secure AVP: 7.00.171, 2008-04-21
    * F-Secure Libra: 2.04.04, 2008-04-18
    * F-Secure Orion: 1.02.37, 2008-04-21
    * F-Secure Draco: 1.00.35, 2006-09-19
    * F-Secure BlackLight: 1.00.64 

Options d'analyse :

    * Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
    * Analyser le contenu des archives 

Actions:

    * Virus: Interroger après analyse
    * Spyware: Interroger après analyse 

Erreur d'informations
Une erreur "Impossible d'ouvrir le fichier" s'est produite :
Le message d'erreur "Impossible d'ouvrir le fichier" signifie que le moteur d'analyse n'a pas pu ouvrir de fichier et que ce dernier n'a pas pu être analysé. Vous pouvez généralement ignorer ce message d'erreur car il peut être dû à de nombreuses causes autres qu'une menace de sécurité, notamment :

    * Le fichier est un fichier système. Par principe, les fichiers système sont protégés par le système d'exploitation. Dans ce cas, ignorez le message.
    * Vous n'êtes pas autorisé à lire le fichier. Pour analyser le fichier, connectez-vous avec un compte utilisateur disposant des autorisations suffisantes (le compte administrateur de l'ordinateur par exemple) et réexécutez l'analyse.
    * Le fichier était utilisé par une application pendant la tentative d'analyse. Pour l'analyser, fermez toutes les applications et réessayez. 


Donc j'aurais aimé savoir comment les supprimer car là ils sont que renommer ???

Merci

Lyonnais92 · Answer

Bonjour,

    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

Zimeur · Answer

okok merci, analyse en cours

Zimeur · Answer

Tue Apr 22 08:47:30 2008
EliBagle v11.28  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Tue Apr 22 08:47:34 2008
EliBagle v11.28  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   11245
Nº Total de Ficheros:      141314
Nº de Ficheros Analizados: 19637
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Lyonnais92 · Answer

Re,


Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien : 

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur dss.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
 
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

Zimeur · Answer

re

Deckard's System Scanner v20071014.68
Run by Propriétaire on 2008-04-22 10:01:47
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
23: 2008-04-22 08:01:52 UTC - RP23 - Deckard's System Scanner Restore Point
22: 2008-04-21 16:36:41 UTC - RP22 - Installé Java(TM) 6 Update 5
21: 2008-04-20 20:29:38 UTC - RP21 - Installé OpenOffice.org 2.4
20: 2008-04-20 20:28:06 UTC - RP20 - Installé Java(TM) 6 Update 4
19: 2008-04-20 17:04:23 UTC - RP19 - Installé Microsoft Office PowerPoint Viewer 2007 (French)


-- First Restore Point -- 
1: 2008-04-19 11:51:59 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-04-22 10:06:02
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\Orange\AntivirusFirewall\FWES\program\fsdfwd.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\Documents and Settings\Propriétaire\Bureau\dss.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS
etwork diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS
etwork diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options Group: [TABS] Tabbed Browsing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\system32\slserv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Zimeur · Answer

y'a qq'un ??? ^^

Lyonnais92 · Answer

Bonjour,

rien d'infectieux dans ce rapport;

par contre, c'est quoi :

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

Zimeur · Answer

alors là aucune idée par contre je préfère reposter un log hijackthis car j'ai fixé certaines lignes 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:32, on 22/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\miam.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Lyonnais92 · Answer

Re,

le rapport est propre.

les lignes signifient que ton Windows a été modifié par rapport à la version authentIque.

Zimeur · Answer

okok merci mais y'a encore 5mn j'ai eu un message d'alerte de mon antivrus: tentative d'infection par trojan Bagle :(

Lyonnais92 · Answer

Re,

tu as téléchargé un crack (ou un keygen) (ou tu étais en train de ) ?

Zimeur · Answer

oui mais je crois que j'ai résolu le blem car j'ai fait une analyse complète et l'antivirus à rien trouvé donc je crois que c'est résolu 
mais bon je continuerais à scanner souvent ^^

allez à tte et merci Lyonnais92 ^^

Lyonnais92 · Answer

Re,

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

tant que tu téléchargeras des cracks, qui plus est sur un windows non légitime, tu auras des problèmes.

Zimeur · Answer

okko mais mon windows c'est DynaMips mon réparateur qui l'a mis donc j'y suit pour rien mais oué jpense que les cracks c'est fini ^^
bon bah jte poste ça

Lyonnais92 · Answer

Re,

ça devient intéressant ton histoire.

Tu as acheté le micro où ? Chez ce réparateur ?

neuf ? D'occasion ?

Windows était installé ? Ta facture mentionne l'OS ?

Tu as le CD ? Et la clé ?

Zimeur · Answer

voilà le post ^^
-->- Recherche: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Alors: l'ordi je l'ai acheté neuf chez conforama, oui j'ai la clé de l'ordi elle est sur le côté de la centrale, par contre ils m'ont pas filé de CD windows xp familial (l'OS qui est installé sur mon ordi)  et puis bah suite à un problème sur mon ordi (j'ai posté un sujet dessus) hé benh je l'ai emmené à mon réparateur habituel à savoir dynamips (dynamips.com) et ils m'ont réfilé mon ordi réparé et pi voilà

Zimeur · Answer

ah et comme je leur ai demandé ils m'ont fait une sauvegarde et y'a certains trucs que j'arrive pas à supprimer du dossier sauvegarde donc voilà ^^

Lyonnais92 · Answer

Re,

merci des précisions.

pour ton compte, tu es en règle.

demande leur combien il prendrait pour te graver le CD de Windows à partir de ton ordi. 

Ne le fais pas. C'est juste pour savoir.

Supprime ToolsCleaner (sur ton bureau) et le rapport Tcleaner.txt (dans C:\).

Zimeur · Answer

okok et c'est bon ou pas j'ai plus d'infections ??? et tu saurais pas comment supprimer un dossier récalcitrant ??? par exple j'ai AcroIEHelper.dll qui veut pas se supprimer ...
Merci

Lyonnais92 · Answer

Re,

tu n'as plus d'infection.

la suppression échoue aussi en mode sans échec ?

Zimeur · Answer

okok bah oui ça résiste même en mode sans échec, c'dst tt le tps pareil: vérifiez qu'il n'est pas protégé ou utilisé ...

Lyonnais92 · Answer

Re,

alors je suis allé trop vite. Il reste une infection.

Tu as le nom de AcroIEHelper.dll ?

si non, cherche le par la fonction Rechercher de Windows.

Qand tu l'as, fais ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : le fichier Acro....

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Zimeur · Answer

Fichier AcroIEHelper.dll reçu le 2008.04.21 23:05:31 (CET) Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.4.22.0 2008.04.21 - AntiVir 7.8.0.8 2008.04.21 - Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.21 - AVG 7.5.0.516 2008.04.21 - BitDefender 7.2 2008.04.21 - CAT-QuickHeal 9.50 2008.04.21 - ClamAV 0.92.1 2008.04.21 - DrWeb 4.44.0.09170 2008.04.21 - eSafe 7.0.15.0 2008.04.21 - eTrust-Vet 31.3.5720 2008.04.21 - Ewido 4.0 2008.04.21 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.21 - FileAdvisor 1 2008.04.21 - Fortinet 3.14.0.0 2008.04.21 - Ikarus T3.1.1.26 2008.04.21 - Kaspersky 7.0.0.125 2008.04.21 - McAfee 5278 2008.04.21 - Microsoft 1.3408 2008.04.21 - NOD32v2 3044 2008.04.21 - Norman 5.80.02 2008.04.21 - Panda 9.0.0.4 2008.04.21 - Prevx1 V2 2008.04.21 - Rising 20.41.02.00 2008.04.21 - Sophos 4.28.0 2008.04.21 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.21 - TheHacker 6.2.92.286 2008.04.21 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.21 - Webwasher-Gateway 6.6.2 2008.04.21 - Information additionnelle File size: 62080 bytes MD5...: c11f6a1f61481e24be3fdc06ea6f7d2a SHA1..: b1d727163b1431ae4159cd5688e46553d17b918e SHA256: 109ecfaceaf95e6f9b21fd008b2487df645528ec660af15c7077651627e7ab59 SHA512: a3b26cbb3714bec6497185f14abcab6d9b0c9b4f302325fabcbab6da4da4fb33
d1d8952b25e324b26c6537d70bb3076b430bfd628ee44a2aeccb447bdc5779dd PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007830
timedatestamp.....: 0x453c6a72 (Mon Oct 23 07:08:34 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x712c 0x7200 6.42 6382a1a8f14b408ddc8ecd5cc5000c78
.rdata 0x9000 0x2c37 0x2e00 4.57 62586809809cc76e4bf630539d8e8b49
.data 0xc000 0xd2c 0xa00 4.46 ff9abec3d11bcfaeb3b551f8cf38dd7a
.rsrc 0xd000 0x1ea8 0x2000 5.04 df4f3e5ff1a11f096c50d359633eb80e
.reloc 0xf000 0xd70 0xe00 5.85 0efbd01d5a85a2255f8d864bad6a8d1b

( 6 imports )
> KERNEL32.dll: lstrlenA, lstrcmpiA, DisableThreadLibraryCalls, InterlockedIncrement, InterlockedDecrement, GetModuleFileNameA, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, GlobalGetAtomNameW, GlobalDeleteAtom, GlobalGetAtomNameA, FlushInstructionCache, GetCurrentProcess, GetLastError, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, Sleep, LocalFree, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, LoadLibraryA, GetProcAddress, HeapAlloc, GetProcessHeap, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, lstrcmpA, MultiByteToWideChar, HeapFree, InterlockedCompareExchange, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange
> USER32.dll: SetWindowLongA, UnregisterClassA, GetClassNameA, IsWindowUnicode, CharNextA, CallWindowProcW, CallWindowProcA, GetParent, DestroyWindow, RegisterClassA, CreateWindowExA, SetWindowLongW, DefWindowProcA, GetWindowLongA, ShowWindow, SetForegroundWindow, SetWindowPos, GetForegroundWindow
> ADVAPI32.dll: RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA, RegEnumKeyExA
> ole32.dll: CoTaskMemAlloc, CoCreateInstance, StringFromGUID2, CoTaskMemRealloc, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> MSVCR80.dll: __clean_type_info_names_internal, _crt_debugger_hook, __type_info_dtor_internal_method@type_info@@QAEXXZ, __CppXcptFilter, _adjust_fdiv, _amsg_exit, _initterm_e, _initterm, _encoded_null, __3@YAXPAX@Z, memcmp, _mbsnbcpy_s, malloc, free, memcpy_s, _CxxThrowException, strcpy_s, strcat_s, memset, ___V@YAXPAX@Z, _resetstkoflw, __2@YAPAXI@Z, __CxxFrameHandler3, ___U@YAPAXI@Z, _purecall, _recalloc, strstr, wcsstr, _mbsstr, _mbslwr, wcstombs, strlen, _except_handler4_common, _terminate@@YAXXZ, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _malloc_crt

( 6 exports )
AcroBrwSetCallbacks, AcroBrwSubclassWindow, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Lyonnais92 · Answer

Bonjour,

tu peux me donner le nom complet du fichier. merci.

Zimeur · Answer

lu !
AcroIEHelper.dll - Copyright 1984-2006 Adobe Systems Incorporated and its licensors. All rights reserved. - Adobe PDF Helper for Internet Explorer - v8.0.0.456

Lyonnais92 · Answer

Bonjour,

j'aurai besoin du chemin, quelque chose dungenre :

C:\   \AcroIEHelper.dll

C'est une version espagnole ?

Zimeur · Answer

non 

C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll

j'ai changé 2 noms de dossier: "frs" était "sauvegarde" et "Akhfe" était euh Adobe je crois

Lyonnais92 · Answer

Re,

bon, première tentative :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to  Move.


C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Donne moi le résultat

Zimeur · Answer

erreur url : "404 not found"

Lyonnais92 · Answer

Re,

pardon, j'ai perdu un fichier et je l'ai mal reconstitué.

Le bon lien 

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Zimeur · Answer

okok merci jte poste le r"ésultat oh et j'ai essayé de le supprimer avec Unlocker aucun résultat (juste pr info)

Zimeur · Answer

voilà le post: à vu d'oeil pas très concluant ^^

C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll NOT unregistered.
File move failed. C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll scheduled to be moved on reboot.
 
OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04262008_131033

Files moved on Reboot...
C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll NOT unregistered.
File move failed. C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll scheduled to be moved on reboot.

Lyonnais92 · Answer

Re,

une petite recherche :

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : AcroIEHelper.dll
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

Zimeur · Answer

26/04/2008 ---- 14:05:50,90  

----------------------------------
§§§§§§ [AcroIEHelper.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\InprocServer32]
@="C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5F226421-415D-408D-9A09-0DCD94E25B48}\1.0\0\win32]
@="C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E7EA0B4E57D2DD44691EF1775E71128A]
"68AB67CA7DA76301B7448A2100000030"="C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll"

[HKEY_USERS\S-1-5-21-1757981266-1606980848-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"b"="C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll"

[HKEY_USERS\S-1-5-21-1757981266-1606980848-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"b"="C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll"

*******************
     [Fichier] 
*******************

c:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll
c:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll


*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


je supprime les clés ???

Lyonnais92 · Answer

Re,

tu veux supprimer les 2 ou un seul ?

Zimeur · Answer

bah que celui de la version qui foire c.a.d dans le dossier "frs" car l'autre c'est la version actuelle que j'utilise ^^

Lyonnais92 · Answer

Re,

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll

 

Le copier dans la fenêtre de The Avenger (appuyer sur les touches(Ctrl+V)

 IMPORTANT : Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du Bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Zimeur · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroIEHelper.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

tu as vérifié (je me méfies avec ces trucs) ?

Tu as Ccleaner ?

Si oui, nettoies le registre avec.

Zimeur · Answer

oui j'ai ccleaner donc faut que je nettoie la base avec (réparer erreurs) et que je refasse avenger ?

Lyonnais92 · Answer

Re,

non, tu ne relances pas The Avenger. Tu regardes par l'explorateur Windows si le fichier y est encore.

Pour ccleaner :

Ouvre CCleaner.
 
• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.

Si le fichier a bien disparu, relance OTMoveIt, clique sur le bouton Clean up.

Redémare l'ordi si il ne le fait pas tout seul.

Tiens moi au courant.

Zimeur · Answer

youpi il est plus là !!!!!!
merci bcp de toute ta patience !!!! put*** ça a été long mdr
euh pourrais tu me dire ce qui a marché car j'ai d'autres fichiers comme ça qui veulent pas se supprimer :(
merci

Lyonnais92 · Answer

Re,

c'est The Avenger qui a fonctionné.

Donne moi la liste complète des fichiers (ou dossiers) que tu veux supprimer.

Et ne relance pas OTMoveIt. Si tu l'as fait, pas grave, on retéléchargera The Avenger;

Zimeur · Answer

celles là : http://servimg.com/image_preview.php?i=58&u=11928310
et celles-ci: http://servimg.com/image_preview.php?i=59&u=11928310

Lyonnais92 · Answer

Re,

Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
C:\frs\Program Files\Fichiers communs\Akhfe\Acrobat\ActiveX\AcroPDF.dll
C:\frs\WINDOWS\system32\Macromed\Flash\Flash9e.ocx


Le copier dans la fenêtre de The Avenger (appuyer sur les touches(Ctrl+V)

IMPORTANT : Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du Bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Nettoie la base de registre avec Ccleaner.

Zimeur · Answer

j'ai qu'un truc à dire : VICTOIRE !!!!!!!!!!! c'est bon grâce à toi et Avenger j'ai plus de fichiers récalcitrant et plus de virus ^^
Alors je te remercie bcp Lyonnais92 et te fait pleins de bsx XD je déc pleins de poignées de mains XD
bon plus qu'à passer un coup de ccleaner et OtMoveIT ???

Lyonnais92 · Answer

Bonjour,

tout ça est parfait.

Fais passer CCleaner et OTMoveIt.

Je mets le post en résolu.

Bon surf.

Zimeur · Answer

bon bah ce fut une belle exp partagée xpdr XD
allez bye et bon surf à toi aussi !

Lyonnais92 · Answer

Re,

oui, une désinfection peut être très instructive (ce n'est pas une raison pour se faire infecter lol).

Infection par Bagle

49 réponses

Discussions similaires

Newsletters