Section virus ou autres menace

Bonjour !

En vous incrivant,

Vous pouvez poster ici vos problèmes (bien exposés).
Donnez le plus de détails possibles ainsi que les noms de virus ou de malwares qui auraient été identifiés sur votre machine svp.
Ainsi que tous symptômes associés.

Mettez un titre au dessus des onglets de fonctions
puis vous pouvez coller vos rapports de scans ou autres dans la section du message. Vous pouvez prévisualiser et ensuite l'envoyer.

Nous tenterons de vous répondre le plus rapidement et le plus efficacement possible. Merci. Jal
Cliquez sur (Nouveau) Et n'oubliez pas de mettre un titre

ki peu m aider? j ai choper ceci
O4 - HKLM\..\Run: [Salestart(1)] "D:\Program Files\Fichiers communs\Nettordinateur\mc.exe" dm=http://nettordinateur.com; ad=http://nettordinateur.com
on a bo éssayer de le désinfecté, il résiste. keske je peu fr?? kelk'un peu m aider??

Bienvenu !

Oui j'ai entrevu ton problème.
En fais il sagit d'un nouveau spyware très tenace et qui ne fait pas encore parti des données de la plupart des fix ou logiciels anti-espions.
Je recherche un peu et je te reviens d'ici 1 heure ok .
@+ Jal

je te remerci bocou, parcke je commencais à désespérer ça fait trois jours kon est dessus et cette bbete nous donne du fil à retordre...j attend ta réponse en te remerciant infiniment..

Je crois que tu as aucun pare-feu efficace sur ta machine.
Sinon celui par défaut de Windows qui est oui défectueux et une passoire.
Alors installes un vrai pare-feu comme celui-ci si tu te débrouille un peu avec l'anglais, il est le meilleur.
http://www.majorgeeks.com/downloadget.php?id=4872&file=10&evp=e04df34392ed7a52da412d777a22febc
Et en installant, mets ton adresse email pour recevoir les mises à jour.
Ou si vraiment tu veut francais, alors celui-ci , moins efficace: http://www.commentcamarche.net/telecharger/telechargement-206-kerio
Et tu es aux prises avec ce que l'on appelle on Rogue ou un faux pour te $$$
Normalement Smithfraudfix devrait enlever, mais il semble que celui-ci est muter!
L'adresse ip de cette merdouille est : l'IP 85.12.60.30.

La solution est de bloquer cet ip avec un pare-feu en attendant que les fix se mettent à jour.
Mais tu pourrais tenter aussi chemin faisant ceci : http://www.majorgeeks.com/downloadget.php?id=5360&file=10&evp=2e0d43eb67e1e71c0b31e62c003599c0

Car ce rogue est du même editeur que tout ceci :
Accelerateurmaligne
Aceleradorlisto
Adioserrores
Allertaminacce
Alltiettantivirus
Antivirusaskeladd
Antivirusordi
Antiviruspcpakke
Antiviruspcsuite
Antiviruspertutti
Antivirusscherm
Avsystemcare
Avsystemshield
Bedreigingsmonitoor
Besutohogo
Bilgikoruyucusu
Bogyotsuru
Bortmedvirus
Bugdokter
Bugsdestroyer
Cleverspeeder
Conducteurprive
Densoftwareglobal
Diannaoqingjieji
Discerrorfree
Discosemerros
Discosenzaerrori
Discosinerrores
Diskfejlfri
Diskrensare
Disqudurprotection
Dokterfix
Doraibuhogo
Drivedefender
Driveproteccion
Easysprinter
Einaprivadesapc
Electrosunny
Elevarendimiento
Elvikingsoftware
Errclean
Erro-out
Errorfri
Errorout
Errorskydd
Errorsoshi
Fejlrenser
Festplattenreiniger
Findmoresoft
Fullsystemprotection
Harddiskvakt
Interspaseprotection
Kantansprinter
Konsekieraser
Magicgloveslab
Magicsoftline
Maximumantivirus
Meinbesterschutz
Mijnantivirus
Mistikotitatuipologisti
Moncontenuassistant
Munazifalhasob
Nadadevirus
Nettordinateur
Nocompromaat
Norwayvirus
Nowayvirus
Oczyszczaczkomputerza
Onlinepcguard
Pcbeskyttelse
Pcprivacytool
Pc-prot
Pcraiser
Pcrengoringsmaskine
Pcreveil
Pcsegura
Pcsikker
Pcsikkerhed
Pcsod
Pcsuanbukkon
Pcvirusless
Pembersihkomputer
Performancekoujou
Plattefehlerfrei
Pp-total
Privacidadeprotegida
Privacyconductor
Proteccionconfiable
Protectingtool
Protectsols
Protejaseudrive
Protejasudrive
Protezionesoft
Puliturasystem
Regbotemedel
Regrensere
Rejishufuku
Safeheavenlab
Sanitardiska
Schijfhersteller
Schutztool
Semerros
Senzaerrori
Sikkerpcvaerktoj
Sistemaimune
Skyddsverktyg
Sletingenvirus
Smartkasoku
Softgrand
Softwarelocus
Solutionreg
Spacesafed
Sprinterfacile
Spychasseur
Spyschutz
Spywarealaram
Spywarecapture
Ssolsoftware
Stoltbeskyttelse
Supashuri
Suspenzorpc
Sysdepannage
Syskontroller
Syslibero
Systemordnare
Techtrollsoftware
Temizsurucu
Totalsicher
Trojanskiller
Tryggdator
Turvapc
Vacinatotal
Vaskredskap
Velocidadsimple
Virenfrierpc
Virtualpcguard
Virusdeteccion
Virusdifesa
Viruseffaceur
Virusforsvar
Virusfrittsystem
Virusgarde
Virusschlacht
Virusstopper
Virusuwadame
Virusvakt
Virusvanguard
Wegvonviren
Winanonymous
Winpcdoctor
Winsecureav
Winspycontrol
Zebraantivirus
Alors essaies ceci et mets-moi un rapport highjackthis stp.
@+

voila docteur lol

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:13, on 04/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\Mixer.exe
D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
D:\MulMouse.exe
D:\MagicKey.exe
D:\PROGRA~1\Wanadoo\ComComp.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\PROGRA~1\Wanadoo\Watch.exe
D:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
D:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Salestart(1)] "D:\Program Files\Fichiers communs\Nettordinateur\mc.exe" dm=http://nettordinateur.com; ad=http://nettordinateur.com
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] D:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = D:\MulMouse.exe
O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

--
End of file - 7486 bytes

Ok je vois pour Kerio et la ligne 04 est toujours là. Alors Rogue remover a rien fait ?

non il a rien détecté...je vais finir par croire ke le seul moyen det de formater et de tout refr

non il y a pire, il ne sagit que d'un rogue.
Installes Ccleaner ici la version 'Slim" sans la toolbar Yahoo.
http://www.ccleaner.com/download/builds/downloading-slim
Puis dans les options avancés de Ccleaner, décoches la case des fichiers de plus de 48 heures.
Et lances et relances le nettoyage, puis pareil pour (registres).

Vas voir sur ton pare-feu et recherches si tu vois le ip en question puis bloques-le.

Sinon vas en mode sans echec puis avec Highjackthis coches puis fixes ces lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [Salestart(1)] "D:\Program Files\Fichiers communs\Nettordinateur\mc.exe" dm=http://nettordinateur.com; ad=http://nettordinateur.com

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

Je ne sais pas si tu y tiens à Alice ?
Mais tu aurais tout intérêts à ne naviguer que sur Firefox.

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
Cliques sur fixes check puis lances Ccleaner à nouveau.

Puis remets un log HJKTS.

Oui je voulais aussi te dire que si tu utilisais Firefox seulement pour tes navigations,tu aurais aussi la possibilité d'éviter ces merdes car Firefox est beaucoup plus sécurisé et même plus rapide que IE.
En plus tu as la possibilité de tout y modifier et de le blinder contre à peu-près tout.
Même avoir un super look.
Dnc IE est exclusivement pour les Mises à jour de l'oncle Bill.
Tout le reste c'est Firefox.
Regardes ici les add ons de Firefox: http://jalobservateur.spaces.live.com/blog/cns!2F6086DD1C51DCDA!1866.entry

Bonjour a vous deux,

Ca avance ? ;-)

A bientot`

g!rly`

Salut ronde92, salut G!rly

Ok on viens de regarder le rapport Combofix et les clés de registres et les dossiers n'ont pas été inclus dans le CFScript.txt.

Alors fais comme suit :

Folder::
D:\Program Files\Fichiers communs\Nettordinateur
D:\RECYCLER(2)
D:\Program Files\Navilog1
D:\VundoFix Backups
D:\Lop SD
D:\Program Files\Fichiers communs\DefenseDuDisque

File::
D:\WINDOWS\system32\tmp.reg
D:\Documents and Settings\chris\getfile.dat

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Salestart(1)"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb4860­a1-93c9-11dc-be49-0011090900fd}]

NB: Si cette dernière ne part pas ,alors on supprimera sa valeur .
Redis-moi stp et redonnes-le rapport Combofix.

NB: Fermes tout ,surtout les protections en exécutant Combo.

bonjour jal dsl mais mon ordi a planter de chez planter vendredi soir...plu moyen de l allumer...l écran été tous bleu avec un messabe me disant kil y avait un problème de téléchargement de la ruche..k un dossier devait etre soirs défectueux, abimé ou pas présent, donc mon ordi est partit en réparation et me vla avec un otre pour l instant lol en tout cas je te remerci bocou de m avoir aider ct vraiment sympa

Salut ronde.
En effet c'est désolant, car on touchais à la fin. : evil:
J'imagine qu'ils vont réparer avec le cd Windows.
Car souvent cette manoeuvre redonne vie.
Dans tous les cas, avises-moi stp. et nous ferons en sorte que tu sois mieux protégée. Et que ces mésaventures, évitables, ne se représentent pas.
@+ Jal

ok je te remerci t inkiète je te tiens au courant..mais sinon kel est à ton avis le meilleur antivirus et le meilleur pare feu ke je puisse trouver sur le net?

Re bonjour.
Regardes ici justement. : http://entraide.purforum.com/les-systemes-de-protection-f4/les-protections-de-l-heure-mars-2008-t3.htm
Et les Addons Firefox.

Bonjour Jal,

j'ai peut être de petits soucis... en fait j'en sais trop rien !
Je ne peux plus effectuer des windows update, je recois le message suivant :

"wupdmr.exe - image incorrecte"
et dans le message il y a écrit "L'application ou la DLL C:\WINDOWS\system32\rtutils.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation."

D'ailleurs pour d'autres applications, je recois égalment un message d'erreur de ce type, qui me demande la même chose

Sinon depuis 3-4 jours, je n'arrive plus non plus à mettre à jour antivir.

Peut tu m'indiquer ce que je peux faire ?
Suis infecté par quelque chose ?

Merci d'avance !
A +

Salut !
G!rly va te donner les manips...
Infection Bagle probable,
Reste ici le plus possible et tu devras agir selon ses indications, Laurent ok .

Bonsoir laurent

Avec jal on soupçonne fortement la présence du virus bagle sur ton pc :

Telecharge Kb2 sur ce lien : (merci a moe pour la réalisation !)

https://sd-1.archive-host.com/membres/up/1366464061/KB2.exe

Telecharge la nouvelle version d´eliblaga ici : (en bas de cette page)

http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Etape 1 :

Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...

Etape 2 :

Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé "KillB".
Fait glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.

Elibagla va se lancer automatiquement.
Clic sur "Ok" aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE

Une fois fait, le menu principal d'Elibagla apparaîtra :

- Laisse la case "Eliminar ficheros automaticamente" coché
- Clic sur "Explorar" pour lancer le scan.

/!\ Pendant toute la durée du scan, n'utilise pas ton pc, n'ouvre aucun programmes et laisse l'outil travailler.
/!\ Ne redemarre pas le pc après le scan.

Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt

@+

Ok, merci à vous je vais faire ca ce soir, car je ne suis pas chez moi actuellement,
et je suivrai vos indications à la lettre.

D'apès mes recherches ce virus viendrait de mail intitulé Hi ! avec pièces jointes en .exe. Mais je n'ouvre jamais ce genre de mail, et en plus je n'en reçois pas.
Ai-je pu être infecté autrement ? (je navigue sur firefox, et j'ai tout les logiciels de sécurité que m'avait refiler Jal.)
Y a t'il des problèmes avec les logiciels de poker en ligne ?

Bon, bref, à plus tard....

Salut Laurent.
Ces types d'infections ont plusieurs sources possibles.
Il est entendu que tu diposes des meilleures protections actuelles, mais.... Il est aussi possible de les contourner de façon sournoise par divers chemins ou tu aurais probablement baissé la garde en ne procédant pas selon les avertissements de tes residents.
Dans une journée de surf il s'en passe beaucoup.
Alors dans des mois c'est incroyable.
Donc avec ta suite on verras plus clair.
Mais il est vraiment impératif que tu procèdes promptement aux recommandations de G!rly, car je vois que tu es connecté ici sur le forum et que tu devrais strictement te concentrer sur l'irradication de ceci car les minutes et les cliques aggravent l'étât de ta machine.
SURTOUT NE REDMARRES PAS SOUS AUCUN PRÉTEXTE !

Alors.. :

Lorsque je fais mon glisser sur le raccourcis comme vous me le demandez,
une boite de dialogue s'ouvre avec en espagnol un texte qui semble vouloir dire Que je n'ai pas la derniere version du programme.. Je clic sur OK, et la plus rien ne se passe...

j'attends de vos nouvelles..

Re salut ,
Je suis absent depuis quelques temps, travaux chalet...
Je ne peux pas tester le logiciel éliminateur ici car je n'ai plus Windows.
G!rly devrait revenir sous peu...
Entre-temps, limite vraiment tes gestes sur la machine et si tu lis ce message, indiques-le moi ok .

J'ai bien lu ce mesage.. j'attends de vos nouvelles....

Salut Laurent..
G!rly est pas revenue ?
Je suis quasi toujours au chalet alors pas évident pour moi, mais peut-tu faire le point stp sur les développements ou non .
On devra voir pour des soluions...

Salut..
Non pas de nouvelles pour l'instant.
En fait j'ai toujours des messages d'erreurs, comme décrit plus haut,
par exemple lorsque je veux faire windows update, ou quand je lance superantispyware par exemple.... etc

J'ai aussi des problèmes au démarrage qui apparaissent, il tourne en boucle, puis je redémarre en mode sans echec,
et ensuite ca remarche de nouveau....

Voila, je vois pas trop quoi faire, à part attendre de vos nouvelles LoL..

Salut laurent,

Excuse de ne pas être repasser...

On va laisser kb de coté

Contente toi de passer eliblaga :

Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

***Ne reboot pas en passant par msconfig /!\

@+

Salut.

Je vais faire ca ce soir, puisque je ne sui pas chez moi actuellement.

Je veux quand même préciser que j'ai toujours pu démarrer en mode sans echec.
Il me semble aussi que j'ai déja essayer elibagla tout seul, et j'ai eu exactement le même message (un message espagnol disant que la version n'était pas à jour, il me semble).

Par contre je vais essayer de le faire en mode sans echec, peut être que la ca va marcher, mais je suis sceptique. Ok pour msconfig, de toute facon, je n'ai pas de problèmes pour démarrer en mode sans echec.

Je vous tiens au courant dans la soirée (ici il est 10h00 du matin)

Merci !
A +

Voila, j'ai réussi a passé Elibagla en mode sans echec.
J'ai eu des messages comme quoi il n'arrivait pas a acceder à tous les dossiers (notemment un dossier s'appelant ZZZZZZZZZZ).

Il n'a visiblement rien trouvé,
j'attends vos instructions

Ci-joint le rapport :

Tue Jul 01 19:55:36 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Jul 01 19:55:47 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3764
Nº Total de Ficheros: 34145
Nº de Ficheros Analizados: 9214
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Jul 01 20:17:03 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 95
Nº Total de Ficheros: 1880
Nº de Ficheros Analizados: 13
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Du coup avec cette nouvelle version, j'ai aussi réussi à faire ta 1ère manip avec le KB, le résultat a été strictement identique, avec les même messages.

voila le rapport :


Tue Jul 01 19:55:36 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Jul 01 19:55:47 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3764
Nº Total de Ficheros: 34145
Nº de Ficheros Analizados: 9214
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Jul 01 20:17:03 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 95
Nº Total de Ficheros: 1880
Nº de Ficheros Analizados: 13
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Jul 01 22:20:14 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Jul 01 22:20:21 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 3772
Nº Total de Ficheros: 34515
Nº de Ficheros Analizados: 9217
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Jul 01 22:29:59 2008
EliBagle v11.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 95
Nº Total de Ficheros: 1883
Nº de Ficheros Analizados: 13
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Salut laurent...

Bon tres bien, au moins tu n´est pas infecté par bagle

1
Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

2
Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger-159-hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post les rapports générés ici stp...

@+

Voila le rapport de combofix :

ComboFix 08-06-30.2 - Laurent 2008-07-01 23:05:32.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.227 [GMT 2:00]
Endroit: C:\Documents and Settings\Laurent\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-01 to 2008-07-01 ))))))))))))))))))))))))))))))))))))
.

2008-07-01 22:39 . 2008-07-01 22:39 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-01 22:39 . 2008-07-01 22:39 d-------- C:\Documents and Settings\Laurent\Application Data\Malwarebytes
2008-07-01 22:39 . 2008-07-01 22:39 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-01 22:39 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-01 22:39 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-01 22:19 . 2008-07-01 22:19 d-------- C:\KB
2008-06-28 00:35 . 2008-06-28 00:35 d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-06-28 00:34 . 2008-06-28 00:35 d-------- C:\Program Files\SUPERAntiSpyware
2008-06-28 00:34 . 2008-06-28 00:34 d-------- C:\Documents and Settings\Laurent\Application Data\SUPERAntiSpyware.com
2008-06-28 00:30 . 2008-06-28 00:30 d-------- C:\Program Files\Spybot - Search & Destroy
2008-06-26 20:52 . 2008-06-26 20:52 d-------- C:\Program Files\Trend Micro
2008-06-14 12:48 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-08 15:17 . 2008-06-08 15:17 d--hs---- C:\found.003
2008-06-07 13:19 . 2008-06-07 13:19 d-------- C:\Documents and Settings\Laurent\Application Data\TaoUSign

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 20:48 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-07-01 17:42 --------- d-----w C:\Documents and Settings\Laurent\Application Data\Spyware Terminator
2008-06-28 19:49 --------- d-----w C:\Program Files\SpywareGuard
2008-06-28 16:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-28 16:54 --------- d-----w C:\Program Files\SpywareBlaster
2008-06-27 22:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-27 22:34 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-27 22:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-06-27 17:10 --------- d-----w C:\Documents and Settings\Laurent\Application Data\LimeWire
2008-06-27 16:37 --------- d-----w C:\Program Files\Spyware Terminator
2008-06-27 16:11 --------- d-----w C:\Program Files\LimeWire
2008-06-27 14:17 --------- d-----w C:\Documents and Settings\Marie-Line\Application Data\Spyware Terminator
2008-06-25 19:58 --------- d-----w C:\Program Files\Java
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 17:42 --------- d-----w C:\Program Files\Yahoo!
2008-06-03 17:13 --------- d-----w C:\Documents and Settings\Laurent\Application Data\EAST Technologies
2008-06-03 17:04 --------- d-----w C:\Program Files\VideoLAN
2008-05-24 13:10 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-05-14 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 09:53 --------- d-----w C:\Documents and Settings\Marie-Line\Application Data\vlc
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-27 21:49 77,057,158 ----a-w C:\Documents and Settings\Laurent\TRACE_BOOT+DRIVERS_1_1.BIN
2001-11-23 11:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-19 23:09 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-29_11.58.04,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 17:39:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-01 18:18:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-05-02 10:47 1817600]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-02-20 22:01 1481984]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:09 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

C:\Documents and Settings\Laurent\Menu D‚marrer\Programmes\D‚marrage\
SpywareGuard.lnk - C:\Program Files\SpywareGuard\sgmain.exe [2003-08-29 20:05:35 360448]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Documents and Settings\\All Users\\Application Data\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-20 22:01]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-20 22:01]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-04-19 12:30]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-23 22:18]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Run - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 23:07:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\guard32.dll
.
Temps d'accomplissement: 2008-07-01 23:09:57
ComboFix-quarantined-files.txt 2008-07-01 21:09:27

Pre-Run: 22,469,980,160 octets libres
Post-Run: 22,460,051,456 octets libres

122 --- E O F --- 2008-06-22 20:00:06

(sur ce il est temps pour moi de quitter me bécanne....
A demain, et Merci !!! )

Et voila le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:15:53, on 01/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6569 bytes

Salut laurent,

Je ne voie rien de special dans ces rapports...

Pour les mises a jour windows essaie ceci :

téléchargé le programme suivant:Dial-a-fix v0.60.0.24.
1. Pour télécharger la dernière version de ce programme, rend toi à cette adresse:
http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip
2. Une fenêtre intitulée "Téléchargement de fichiers" te demandera si tu veux exécuter ou enregistrer le fichier, clique sur "Enregistrer".
3. Dans la nouvelle fenêtre clique dans la colonne à gauche sur "Bureau" puis "enregistrez sous" en bas à droite.
4. Une fois le programme téléchargé, ferme ton navigateur et fait un clic droit sur le dossier "Dial-a-fix" présent sur ton bureau.
5. Clique sur "Extraire ici" ou "Extraire tout" puis "Suivant" , "Suivant" et "Terminer", un dossier nommé " Dial-a-fix " est alors créé.
6. Double clique sur le dossier " Dial-a-fix " puis sur le fichier " Dial-a-fix.exe "
NB: Il est possible que juste avant cela tu obtiene une fenêtre t'indiquant que des problèmes ont été détectés. Décoche alors la case "Hide disabled", puis clique sur "Remove" et sur "Close".
7. Dans la fenêtre principale, clique sur le bouton vert pour tout cocher. Clique ensuite sur "GO" et laisse le logiciel travailler. Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement.
8. Clique enfin sur le bouton "Flush SoftwareDistribution".
Une fois la réparation terminée, ferme la fenêtre et redémarre l'ordinateur.
9. Relance ensuite Windows Update.

Dis moi quoi

@+

Salut, j'ai fait ta manip (j'ai eu quelques messages d'erreurs pendant d'ailleurs),
mais rien n'a changé depuis.

J'ai toujours ces messages d'erreur qui apparaissent.
Par exemple en lancant dial a fix : j'ai eu le message suivant :

timedate.cpl n'est pas une ppalication Win32 valide

Je sais même pas si je suis infecté par quelque chose...

Tiens, maintenat que ca me revient, mon antivirus me signale de temps en temps ceci :

Virus or unwanted program 'APPL/NirCmd.E.2.B [program]'
detected in file 'C:\WINDOWS\Nircmd.exe.
Action performed: Delete file

Qu'est ce ? Est que ca a un rapport ?

Salut laurent,

Pour ton message d´erreur :

http://support.microsoft.com/kb/q250912/

Répare la clée comme indiqué...

Pour nircmd.exe > c´est un composant de combofix...

Vraiment tes rapports sont propres...

Dis moi apres avoir corrigé l´erreure du fuseau horaire

@+

Salut G!rly , Laurent
Effectivement le log est sans indication.
Parcontre Laurent , Superantispyware est de trop en temps réel.
Tu devrais seulement l'utiliser pour scan passif.
Car tu as déja Terminator et tu risques de ralentir inutilement ta machine.
De plus, assures-toi que ton terminator a pas le 'HIPS' activé, car Comodo a un HIPS aussi et pourraiient causer certains bloquages...
Donc, ton spyware guard suffit amplement pour la protection de page et de ce fait raison de plus que superantispy soit non actif a ce niveau.
Tu nous diras pour la suite @+

Salut,
Alors voila de mes nouvelles :

J'ai voulu réinstaller windows comme conseillé sur la page microsoft, seulement la réinstallation ne marchait pas,
Et le PC redémarrer sans cesse.
J'ai alors décider de formater mon disque C et de réinstallez windows dans la foulée... Chose que j'ai réussi.
Mon PC redémarre... et la 2 ou 3 fenetres MSDOS avec des messages d'erreurs... je ferme les fenetres.
Je n'ai plus de prtection internet apres ce formatage, j'appuis sur L'IE afin de télécharger mes pilotes graphiques et son, Antivir, firefox etc...
et la PAF, le message Autorité NT system, comme il y a quelque mois..
J'ai passé ma soirée à sauver tout ce que j'avais sur mon disque D.
Est-ce que je suis retourné au point de départ, à savoir le Virus Virtob.gen.5.... ?
Si oui, comment est-ce possible ? Ce virus trouve t'il l'IP de mon PC ?
j'aimerais bien comprendre comment il se propage sur mon PC ?
Fonctionne t'il par rapport à l'adresse de mon PC ou à l'adresse de ma freebox ?
Si je change de PC, est-ce qu'il tentera encore de m'infecter ?
Merci à vous de m'expliquer tout ca, j'ai envie de comprendre mieux,
afin de savoir vers quels solutions m'orienter.
Pour éradiquer ce nouveau problème, faut il à nouveau que je passe par killdisk.
D'ailleurs je pensais qu'avec killdisk, le virus était éradiqué.
Comment se fait il que je suis réinfecté après killdisk.
Est ce que ce virus tentait constemment de m'oinfecter, même apres killdisk, et que ce sont juste mes
logiciles de protections qui l'empechait de se propager sur mon PC ?
Si oui, même avec killdisk, ces virus tentent de "revenir"...
je préfererais alors acheter une nouvelle tour, parceque si c'est pour recommencer tous les 4 mois....

Merci de répondre à toutes questions,
j'ai hate de vous lire...
A plus !!

salut rapide Laurent.
A moins que sur ton disk D tu aies un fichier cracké viral contenant Virtob et que tu aies pas supprimé tout , je ne crois pas a une infection similaire surtout pas avec Killdisk , puis avec un tel retard a se manifester.
Sinon en activant par l'infecté dD ?
Il est entendu que tu ne dois jamais te connecter nu !
Même pas pour tes pilotes, non condom avant !
Car virtob et virut collent aux connections comme une mouche sur un tas de fumier
G!ily va sûrement te donner la suite.
PS: Si jamais tu en as marre de XP est ses conneries, dis-moi et j'ai des solutions bien meilleurs pour toi .
@+ Jal

Salut Laurent.
Les nouvelles se font plutôt rares ...
Je suis bourré de boulôt en reconstruction d,un vieux campement de bucherons et je ne suis pas souvent sur l'ordi.
Mais j'attends toujours ta suite.
Ou en es-tu avec tout ça là ?
@+ jal