W32/bagle.gen : dur dur pour une néophyte!

Logiciel & apps Logiciel Général
1

Bonjour @ tous,

Suite à un mauvais téléchargement sur la mule (ok, je sais voilà déjà ma 1ère erreur!), j’ai eut une alerte virus “tardive” puisqu’avast a été bloqué.

De plus, certains fichiers ne s’enlèvent pas de ma corbeille.

J’ai réussi à trouver quel était le virus grâce à un antivirus en ligne mais voilà mes capacités s’arrêtent là!

Pouvez vous me conseiller?

Merci d’avance

2

Après quelques lectures du fofo peut-être ce rapport effectué avec Elibagla.exe sera utile :

(19-5-2009 16:33:22)
EliStartPage v18.63 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

Lista de Acciones (por Acción Directa):
Restaurada Clave: “SafeBoot\Minimal y Network”
No detectado SP3 d
(19-5-2009 16:33:22)
EliStartPage v18.63 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

Lista de Acciones (por Acción Directa):
Restaurada Clave: “SafeBoot\Minimal y Network”
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

  (19-5-2009  16:33:59)

EliStartPage v18.63 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

Lista de Acciones (por Exploración):
Explorando “C:”

Nº Total de Directorios: 3221
Nº Total de Ficheros: 41152
Nº de Ficheros Analizados: 17994
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

  (19-5-2009  16:41:03)

EliStartPage v18.63 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

Lista de Acciones (por Exploración):
Explorando “D:”

Nº Total de Directorios: 278
Nº Total de Ficheros: 3604
Nº de Ficheros Analizados: 982
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
e Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

  (19-5-2009  16:33:59)

EliStartPage v18.63 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

Lista de Acciones (por Exploración):
Explorando “C:”

Nº Total de Directorios: 3221
Nº Total de Ficheros: 41152
Nº de Ficheros Analizados: 17994
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

  (19-5-2009  16:41:03)

EliStartPage v18.63 ©2009 S.G.H. / Satinfo S.L. (Actualizado el 18 de Mayo del 2009)

Lista de Acciones (por Exploración):
Explorando “D:”

Nº Total de Directorios: 278
Nº Total de Ficheros: 3604
Nº de Ficheros Analizados: 982
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon gros souci c'est que je n'arrive pas à enlever les fichiers qui mis le bordel : ils restent dans ma corbeille m'indiquant - "impossible de supprimer le dossier backup: le dossier est vide" - "impossible de supprimer le dossier Dd4:le répertoire n'est pas vide"

et voici le rapport findykill
############################## [ FindyKill V4.729 ]

User : Fred Et Gege (Administrateurs) # FRED-GEGE

Update on 19/05/09 by Chiquitine29

Start at: 19:12:40 | 19/05/2009

Website : pagesperso-orange.fr…

AMD Athlon™ 64 Processor 3500+

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 6.0.2900.2180

Windows Firewall Status : Enabled

A:\ # Lecteur de disquettes 3 ½ pouces

C:\ # Disque fixe local # 50 Go (23,99 Go free) # NTFS

D:\ # Disque fixe local # 40 Go (4,97 Go free) [DATA] # NTFS

E:\ # Disque fixe local # 39,98 Go (15,38 Go free) [SAUVEGARDE] # FAT32

F:\ # Disque fixe local # 22,66 Go (17,94 Go free) [PARTAGE TVIX] # NTFS

G:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\OLITEC\UI.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\winupgro.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Fred Et Gege\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

“C:\Documents and Settings\Fred Et Gege\Application Data\drivers\winupgro.exe” (688)
“C:\Documents and Settings\Fred Et Gege\Application Data\m\flec006.exe” (1188)
“C:\WINDOWS\system32\wintems.exe” (416)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\WINDOWS\Prefetch\1178140.EXE-01E1FB3A.pf
Found ! C:\WINDOWS\Prefetch\1303921.EXE-2A5770E6.pf
Found ! C:\WINDOWS\Prefetch\1320734.EXE-228554AC.pf
Found ! C:\WINDOWS\Prefetch\15089968.EXE-0D460C4F.pf
Found ! C:\WINDOWS\Prefetch\15208203.EXE-28D17EEC.pf
Found ! C:\WINDOWS\Prefetch\15213312.EXE-21A6891B.pf
Found ! C:\WINDOWS\Prefetch\15230453.EXE-395FA642.pf
Found ! C:\WINDOWS\Prefetch\15496109.EXE-03EDA585.pf
Found ! C:\WINDOWS\Prefetch\1600718.EXE-1CD0A948.pf
Found ! C:\WINDOWS\Prefetch\167187.EXE-0A21183A.pf
Found ! C:\WINDOWS\Prefetch\181859.EXE-383421E9.pf
Found ! C:\WINDOWS\Prefetch\288515.EXE-19D65294.pf
Found ! C:\WINDOWS\Prefetch\29949953.EXE-25F36B02.pf
Found ! C:\WINDOWS\Prefetch\30087109.EXE-3AC60E8C.pf
Found ! C:\WINDOWS\Prefetch\30091312.EXE-0DE533E5.pf
Found ! C:\WINDOWS\Prefetch\30112421.EXE-07B3D278.pf
Found ! C:\WINDOWS\Prefetch\30368484.EXE-01083E76.pf
Found ! C:\WINDOWS\Prefetch\344968.EXE-1FDB188B.pf
Found ! C:\WINDOWS\Prefetch\349796.EXE-19A486F3.pf
Found ! C:\WINDOWS\Prefetch\353500.EXE-18CFCCB5.pf
Found ! C:\WINDOWS\Prefetch\359390.EXE-31BA37A5.pf
Found ! C:\WINDOWS\Prefetch\375640.EXE-1F169847.pf
Found ! C:\WINDOWS\Prefetch\376734.EXE-12279DAF.pf
Found ! C:\WINDOWS\Prefetch\423062.EXE-161AEA70.pf
Found ! C:\WINDOWS\Prefetch\430281.EXE-39DEE793.pf
Found ! C:\WINDOWS\Prefetch\455421.EXE-2BEB8076.pf
Found ! C:\WINDOWS\Prefetch\630140.EXE-102A65D6.pf
Found ! C:\WINDOWS\Prefetch\677500.EXE-0B357F5A.pf
Found ! C:\WINDOWS\Prefetch\775234.EXE-01F9B186.pf
Found ! C:\WINDOWS\Prefetch\FLEC006.EXE-02E42C44.pf
Found ! C:\WINDOWS\Prefetch\KEY_GEN.EXE-0ACCF1AA.pf
Found ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Found ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Found ! C:\WINDOWS\system32\ban_list.txt
Found ! C:\WINDOWS\system32\mdelk.exe
Found ! C:\WINDOWS\system32\wintems.exe
Found ! C:\WINDOWS\system32\drivers\down
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\drivers”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\drivers\downld”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\drivers\srosa2.sys”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\drivers\wfsintwq.sys”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\drivers\winupgro.exe”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\m”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\m\data.oct”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\m\flec006.exe”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\m\list.oct”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\m\shared”
Found ! “C:\Documents and Settings\Fred Et Gege\Application Data\m\srvlist.oct”

################## [ Infected Temp Files ]

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\Local AppWizard-Generated Applications\key_gen
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\bisoft
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\DateTime4
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\FFC
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\MuleAppData
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_gen
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\DateTime4
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“drvsyskit”
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\“drvsyskit”
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“german.exe”
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\“german.exe”
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“mule_st_key”
Found ! HKEY_USERS\S-1-5-21-2000478354-1580436667-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\“mule_st_key”

(!) HKLM\SYSTEM…\Services\srosa -> Start = 0x1

(!) HKLM\SYSTEM…\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

Found ! C:\InfoSat.txt

################## [ Registre / Mountpoints2 ]

-> Not found !

################## [ ! Fin du rapport # FindyKill V4.729 ! ]

3

PAR PRINCIPE JE BOSSE AVEC DES LOGITIELS QUE JE CONNAIS

donc tu passe un coup de MBAM en mode 1 tu poste le rapport et ensuite on te dira

4

Désolé, je suis parti d’un post de ce forum où ces conseils avaient été donnés, je pensais bien faire et gagner du temps!

Je m’exécute alain!

Malwarebytes’ Anti-Malware 1.36
Version de la base de données: 2155
Windows 5.1.2600 Service Pack 2

19/05/2009 20:24:54
mbam-log-2009-05-19 (20-24-49).txt

Type de recherche: Examen rapide
Eléments examinés: 75744
Temps écoulé: 2 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\down (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\m (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\Fred Et Gege\Application Data\m\data.oct (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\m\list.oct (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\m\srvlist.oct (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\srosa2.sys (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\wfsintwq.sys (Rootkit.Bagle) -> No action taken.

Merci de tes commentaires

5

bon ok tu passe a l’étape 2 nettpyage

et si quelqun te prend en charge tu vas jusqu’au bout lui maitrise peut être ce logitiel
Edité le 19/05/2009 à 21:12

6

ok.

l’étape nettoyage c’est : “supprimer la sélection”?

Merci de ta réponse

7

J’ai cliqué sur "supprimer " la sélection, il a mis certains fichiers en quarantaine et a demandé un redémarrage du pc.

Après redémarrage, j’ai relancé le logiciel et voici le nouveau rapport :

alwarebytes’ Anti-Malware 1.36
Version de la base de données: 2155
Windows 5.1.2600 Service Pack 2

19/05/2009 23:51:10
mbam-log-2009-05-19 (23-51-05).txt

Type de recherche: Examen rapide
Eléments examinés: 76217
Temps écoulé: 2 minute(s), 45 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\m\flec006.exe (Trojan.Agent) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Trojan.Spammer) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Fred Et Gege\Application Data\m (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\Fred Et Gege\Application Data\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\srosa2.sys (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Documents and Settings\Fred Et Gege\Application Data\drivers\wfsintwq.sys (Rootkit.Bagle) -> No action taken.

Par contre bonne nouvelle, j'ai pu vider la corbeille...
8

be oui j’ai oublié de te dire en mode sans échec + un coup de ccleaner

9

Salut alain77310 et fredetgege

==> Malwarebytes==>No action taken.==>tu as rien supprimé mais juste mis en "Quarantane "

lances ==>Malwarebytes==> cliques sur " quarantaine==> selectionnes tout ==> supprimes tout==> redémarres ton PC

et mets à jour malwarebytes==>refais une analyse Compléte + suppressions de éventuellles infections trouvées

aprés pour qu alain 77310 y jéte un oeil

==>poste un log hijackthis ==>Hijackthis

Regarde–> renommer correctement Hijackthis ==>Comment installer et renommer correctement ,

pourquoi–>certaines infections “Vundos” se cachent au lancement de hijackthis.exe et pas d’un autre .exe)

regarde générer un rapport–>Tutoriel

10

Alain,

Peux-tu me rappeler comment démarrer en mode sans échec stp?

Merci d’avance

11

Pas de possibilité de démarrer en mode sans échev (F8), j’ai bien le choix mais après une tentative il revient au démarrage…

Pas de possibilité de lancer CCleaner

12

be heu je ne sais plus trop dans ms config tu décoche tout sauf l’anti virus et tu recommence:neutre:

13

Salut

essayes

==>Windows XP–>désactiver ou activer la restauration du systéme

tu desactives et active comme d écris

en fait ceci==>–> Désactivation
Cliques droit sur -->démarre–> “Poste de travail” --> afficher les informations du Systéme–> onglet “Restauration du système” --> coches la case “Désactiver la Restauration du système sur tous les lecteurs”
–> Appliquer attends jusqu 'a que cela soit marqué “désactivée” puis Ok.

et–> Activation
le même chemin qu avant–> décoches la case “Désactiver la Restauration du système sur tous les lecteurs”
–> Appliquer attends que cela soit a nouveau sur “surveillance” puis Ok.

redémarres ton PC et éssayes à nouveau de démarrer en " Mode sans Echec

14

Bonsoir Alain et Cricri,

Impossible de démarrer en mode sans échec.
Impossible de lancer Ccleaner, Avast, ou Hijackthis.
Au démarrage, j’ai remarqué qu’il détecte un nouveau matériel au nom byzarre : We{d42pbr-{2clb0 (leétant une sorte de petit carré)
MBAM détecte autant de fichiers infectés à chaque fois.

Voilà les dernières nouvelles
Merci

15

Salut

http://i42.tinypic.com/rm4ehi.jpgposte un Log hijackthis -->Hijackthis

regarde–> renommer correctement Hijackthis ==>renommer correctement

pourquoi ??–>certaines infections “Vundos” se cachent au lancement de hijackthis.exe et pas d’un autre .exe)

http://i42.tinypic.com/rm4ehi.jpgregarde générer un rapport–>Tutoriel

16

Bonsoir Cricri,

Comme je te le disais je n’arrivais à rien. Même le fait de le renommer ne me permettait pas de lancer Hijackthis.

J’ai donc cherché comment résoudre ce problème du démarrage sans échec. J’ai utilisé SafeBootKeyRepair.exe.

Résultat : Démarrage mode sans échec à nouveau possible. Tout n’est pas réglé mais j’ai pu lancer Ccleaner et renommer Hijackthis dont voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:42, on 20/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM…\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKCU…\Run: [TViXNetShare] C:\Program Files\DVICO\TViXNetShare\TViXNetShare.exe
O4 - HKCU…\Run: [OLITEC_UI] C:\Program Files\OLITEC\UI.exe /EndPrevInst /AutoHide
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
O4 - HKUS\S-1-5-18…\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE…
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra ‘Tools’ menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - upload.facebook.com…
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr…
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - fichiers.touslesdrivers.com…
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


End of file - 4342 bytes

Merci de m’indiquer la démarche à suivre pour enduguer les restes de ce satané virus d’ailleurs qui n’était pas le seul…

17

bon ça craint chez toi AUCUNE PROTECTION

18

Salut alain,

Alors, concernant la protection, je viens de réinstaller avast car celui que j’avais ne se lançait plus.

Il m’a demandé de redémarrer le pc pour faire une analyse au démarrage : elle n’est qu’a 24%.

Je vais laisser tourner cette nuit et je vais te poster un nouveau log demain matin : est-ce que ça te va?

Je suis ouverte à tous tes conseils.

Merci

19

Finalement ça été plus vite et comme j’ai le sentiment d’en voir le bout voici le rapport (mode normal)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:57:40, on 20/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\OLITEC\UI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM…\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU…\Run: [TViXNetShare] C:\Program Files\DVICO\TViXNetShare\TViXNetShare.exe
O4 - HKCU…\Run: [OLITEC_UI] C:\Program Files\OLITEC\UI.exe /EndPrevInst /AutoHide
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
O4 - HKUS\S-1-5-18…\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE…
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra ‘Tools’ menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - upload.facebook.com…
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr…
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - fichiers.touslesdrivers.com…
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


End of file - 5584 bytes

20

be en premier avast c’est pas le top mais bon

Je suis ouverte à tous tes conseils.

be oui mais sorter couvert!!!