bonjour,

même pas eu le temps le temps de regler un problème avec des spyware que là cette fois ça à l'air plus grave...

j'ai télécharger un fichiers sur eMule qui m'a fait des dégats je crois;..c'etait un crack pour un keylogger ( ispysow)

quand je demarre mon pc, mon antivirus ne demarre pas et quand je veux l'executer en manuel j'ai le message d'erreur "erreur, application win32 non valide"...donc déjà inquiétant...

ensuite internet ne marche plus,

j'ai essayé d'installer avg antivirus ( à partir d'une clé usb puisque je n'ai plus internet sur ce poste) et pareil erreur win32 application non valide

j'ai donc essayé de demarrer en mode sans echec et là encore pire, j'ai un ecran bleu en me disant qu'un problème a été détecté....STOP: 0x0000007b (0xf7acf524,0xc0000034,0x00000000,0x00000000)

et là je sais plus quoi faire je flippe....

gros besoin d'aide là ( je sais même pas si je peux faire un HijackThis)

bonsoir

merci pour ton aide

alors j'ai pas compris quand tu me dit passe deux foix en mode normal et ensuite une fois en mode normal ??

et le rapport c'est le fichier qui se trouve dans c:muestras ??

merci beaucoup

ah ça y'est j'ai trouvé ou se trouvait le log

le voici, mais il a rien trouvé je crois?

Thu Mar 27 20:48:29 2008
EliBagle v11.19 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.19
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Thu Mar 27 20:48:57 2008
EliBagle v11.19 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5783
Nº Total de Ficheros: 92149
Nº de Ficheros Analizados: 9624
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Mar 27 20:59:16 2008
EliBagle v11.19 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.19
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Mar 27 21:00:40 2008
EliBagle v11.19 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5783
Nº Total de Ficheros: 92150
Nº de Ficheros Analizados: 9624
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Mar 27 21:23:19 2008
EliBagle v11.19 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.19
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu Mar 27 21:23:25 2008
EliBagle v11.19 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5783
Nº Total de Ficheros: 92151
Nº de Ficheros Analizados: 9624
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

bonjour,,

bon gros probleme, comme je n'ai plus internet sur le pc infecté, j'ai été obligé de mettre combofix sur une clé usb...je met cette derniere sur le pc infecté, lorsque j'ouvre la clé usb l'icone de combofix clignote...( ou du moins il change d'apparence soit un icone fenetre window, soit l'icone de combofix, ensuite ça ce stabilise) et quand je double clique dessus le pc plante, la clé usb plante, je suis obligé de redemarrer...j'ai essayer 4 fois...

alors je sais pas si c'est lié, mais quand j'ai télécharger combofix sur le pc non infecté ( avec vista) à coté de l'icone de combofix il y en a un autre plus petit (avec 4 couleurs l'icone de securité je crois mais je suis pas sur...) mais ça ne veut peut être rien dire

je fais quoi maintenant

Bonjour.

Laisse tomber avec Combofix.

Télécharge Deckard's System Scanner de Deckard : http://deckard.geekstogo.com/dss.exe
Enregistre ce fichier sur le bureau.

Ferme tous tes programmes en cours et pas de connexion.
Fais un double clic sur "dss.exe" pour lancer l'installation et l'exécution de l'outil.

Clique sur OK lorsque cela est demandé.
Quand le scan sera fini, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt
extra.txt

Tu les fermes.
Poste par copier-coller le rapport main.text.
Il sera enregistré ici : C:\Deckard\System Scanner\main.txt.

@+

bonjour nardino,

voici le log,

Deckard's System Scanner v20071014.68
Run by natalia on 2008-03-28 10:52:22
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
88: 2008-03-28 09:52:33 UTC - RP685 - Deckard's System Scanner Restore Point
87: 2008-03-27 18:44:43 UTC - RP684 - Installed AVG 7.5
86: 2008-03-27 18:39:21 UTC - RP683 - Opération de restauration
85: 2008-03-27 17:30:11 UTC - RP682 - Opération de restauration
84: 2008-03-27 17:27:15 UTC - RP681 - Opération de restauration

-- First Restore Point --
1: 2008-01-29 15:08:09 UTC - RP598 - Point de vérification système

Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 448 MiB (512 MiB recommended).[/color]

-- HijackThis (run as natalia.exe) ---------------------------------------------

Unable to find log (file not found); running clone.
-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-03-28 10:57:38
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\TOSHIBA Applet\THotkey.exe
C:\Program Files\Revealer Free Edition\Revealer Free Edition\revealer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.EXE
C:\WINDOWS\system32\DGL\SVCHOST.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\DGL\SERVICES.EXE
C:\Documents and Settings\natalia\Bureau\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Revealer] C:\Program Files\Revealer Free Edition\Revealer Free Edition\revealer.exe /b
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ATI Remote Control] "C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe"
O4 - HKCU\..\Run: [SystemKbs] C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} () - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192124239549
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_2_0_4_13.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4983/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\system32\Ati2evxx.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - (no file)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8311 bytes

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 caboagp (ATI Cabo AGP Filter) - c:\windows\system32\drivers\atisgkaf.sys <Not Verified; ATI Technologies Inc.; ATI AGP GART Driver>
R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS>
R2 MDC8021X (AEGIS Protocol (IEEE 802.1x) v2.3.1.10) - c:\windows\system32\drivers\mdc8021x.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 2.3.1.10>
R2 Netdevio (TOSHIBA Network Device Usermode I/O Protocol) - c:\windows\system32\drivers\netdevio.sys <Not Verified; TOSHIBA Corporation.; TOSHIBA Network Device Usermode I/O protocol>
R3 TVALD (Toshiba Mobile PC Service) - c:\windows\system32\drivers\nbsmi.sys <Not Verified; Toshiba Corporation; Toshiba Notebook PC SMI Service>

S0 PenClass (Pen Class) - c:\windows\system32\drivers\penclass.sys (file missing)
S1 atitray - c:\program files\radeon omega drivers\v2.6.53\ati tray tools\atitray.sys (file missing)
S3 catchme - c:\docume~1\natalia\locals~1\temp\catchme.sys (file missing)
S3 EverestDriver (Lavalys EVEREST Kernel Driver) - c:\program files\lavalys\everest home edition\kerneld.wnt
S3 iscFlash - c:\docume~1\natalia\locals~1\temp\isc15tmp\iscflash.sys (file missing)
S3 PCASp50 (PCASp50 NDIS Protocol Driver) - c:\windows\system32\drivers\pcasp50.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); PCAUSA Rawether for Windows>
S3 RadProbe (Radeon Probe Driver) - c:\windows\system32\drivers\radprobe.sys (file missing)
S3 SPLITCAM (Splitcam, WDM Camera Stream Splitter) - c:\windows\system32\drivers\splitcam.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (Atheros Configuration Service) - c:\windows\system32\acs.exe
R2 CFSvcs (ConfigFree Service) - c:\program files\toshiba\configfree\cfsvcs.exe <Not Verified; TOSHIBA CORPORATION; ConfigFree(TM)>

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Scheduled Tasks -------------------------------------------------------------

2008-03-27 09:48:52 330 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job
2005-03-25 14:20:53 258 --a------ C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job

-- Files created between 2008-02-28 and 2008-03-28 -----------------------------

2008-03-27 20:48:29 0 d-------- C:\Muestras
2008-03-27 17:37:18 0 d-------- C:\WINDOWS\system32\DGL
2008-03-11 20:39:17 0 d-------- C:\Documents and Settings\natalia\Application Data\ma-config.com
2008-03-11 20:39:16 0 d-------- C:\Program Files\ma-config.com
2008-03-04 12:12:33 0 dr-h----- C:\Documents and Settings\natalia\Recent
2008-02-28 16:20:15 68096 --a------ C:\WINDOWS\system32\zip.exe
2008-02-28 16:20:15 98816 --a------ C:\WINDOWS\system32\sed.exe
2008-02-28 16:20:15 80412 --a------ C:\WINDOWS\system32\grep.exe
2008-02-28 16:20:15 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >

-- Find3M Report ---------------------------------------------------------------

2008-03-11 17:58:28 0 d-------- C:\Program Files\Satsuki Decoder Pack
2008-03-11 16:35:29 0 d-------- C:\Program Files\barre d'outils
2008-02-14 16:12:18 0 d-------- C:\Documents and Settings\natalia\Application Data\Adobe
2008-02-09 11:25:19 0 d-------- C:\Program Files\Revealer Free Edition
2008-02-05 13:20:47 0 d-------- C:\Documents and Settings\natalia\Application Data\Grisoft
2008-02-04 13:19:24 0 d-------- C:\Program Files\ATI Multimedia
2008-02-04 13:04:29 445672 --a------ C:\WINDOWS\system32\perfh00C.dat
2008-02-04 13:04:29 64052 --a------ C:\WINDOWS\system32\perfc00C.dat
2008-02-04 13:03:58 0 d-------- C:\Program Files\X10 Hardware
2008-02-04 13:00:50 0 d-------- C:\Program Files\Common Files
2008-01-29 10:21:57 0 d-------- C:\Program Files\Neuf
2008-01-17 14:20:08 37888 --a------ C:\WINDOWS\system32\rar.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows (R) 2000 Operating System>
2008-01-13 19:21:51 1324 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-01-06 08:56:40 56320 --a------ C:\WINDOWS\system32\LM20.DLL

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [22/04/2004 15:23]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [22/04/2004 15:23]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [16/08/2004 16:08]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [28/03/2008 09:34]
"Revealer"="C:\Program Files\Revealer Free Edition\Revealer Free Edition\revealer.exe" [28/11/2006 20:26]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [03/11/2006 18:20]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [20/05/2005 16:56]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [23/07/2005 04:10]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [05/08/2004 12:00]
"Configuration de la C-BOX"="C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe" []
"ATI Remote Control"="C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe" [05/04/2006 22:03]
"SystemKbs"="C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE" [28/04/2007 19:24]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 2000 Series.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 2000 Series.lnk
backup=C:\WINDOWS\pss\hp psc 2000 Series.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^officejet 6100.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officejet 6100.lnk
backup=C:\WINDOWS\pss\officejet 6100.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^natalia^Menu Démarrer^Programmes^Démarrage^Démarrage d'Office.lnk]
path=C:\Documents and Settings\natalia\Menu Démarrer\Programmes\Démarrage\Démarrage d'Office.lnk
backup=C:\WINDOWS\pss\Démarrage d'Office.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^natalia^Menu Démarrer^Programmes^Démarrage^Microsoft Recherche accélérée.lnk]
path=C:\Documents and Settings\natalia\Menu Démarrer\Programmes\Démarrage\Microsoft Recherche accélérée.lnk
backup=C:\WINDOWS\pss\Microsoft Recherche accélérée.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATI Remote Control]
C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiTrayTools]
C:\Program Files\Radeon Omega Drivers\v2.6.71\ATI Tray Tools\atitray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la C-BOX]
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DW4]
"C:\Program Files\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh]
C:\Program Files\ltmoh\Ltmoh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessagerStarter Wanadoo]
C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
"C:\Program Files\TOSHIBA\PadTouch\PadExe.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\teamrxl]
c:\windows\system32\teamrxl.exe teamrxl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
%systemroot%\system32\dumprep 0 -u

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62357002-3711-11d9-805a-806d6172696f}]
AutoRun\command- D:\browser.exe

-- End of Deckard's System Scanner: finished at 2008-03-28 10:59:08 ------------

re bonjour,

Alors c'est mauvais ce log? je doit avoir un sale truc non ?

bonjour tout le monde,

je n'ai pas de nouvelle concernant l'analyse de mon log? c'est si mauvais que ça ?

merci

Bonjour.

Excuse-moi d'avoir une vie privée.

J'y regarde.

@+

lol excuse moi je comprend.

c'est ma femme qui gueule parceque je lui ai refilé un virus sur son portable.......lol

merci encore et prend le temps qu'il te faut

Re,

Résultat des Courses:

1-Pour réparer le mode sans échec, télécharge ce fichier.
Tu le décompresses.
Tu double-cliques sur safeboot_sp2.reg et tu acceptes la fusion à la base de registre.
http://www.assistepc.com/telechargement/registre/mse/safeboot_sp2.zip

2-Lance HijackThis par Do a system scan only, sans autre application lancée.
Coche les lignes suivantes :

O4 - HKCU\..\Run: [SystemKbs] C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - (no file)

Clique sur Fix checked et referme le programme.

3-Dans un blocnote ( Tous les programmes-Accessoires) tu copies-colles ce qui est ci-dessous.
Dans Format, veille à bien retirer la coche devant Retour à la ligne automatique.
Fais un retour chariot ( Entrée) après la dernière ligne.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemKbs"=-

re nardino,

que veux tu dire par "Lance HijackThis par Do a system scan only" ?

car quand je double clique sur HijackThis ( j'avais déjà la version2.02 sur le bureau de mon portable), j'ai toujours erreur application win32 non valide ( et bien sur toujours le même probleme si je veux copier HijackThis de la clé usb sur le bureau..ça plante et je doit redémarrer...)

j'ai egalement essayé de demarrer hijacthis sous dos (executer CMD) et toujours en mode sans echec en mode administrateur mais j'ai un message d'erreur dans le dos "acces refusé" et le message d'erreur "application win32 non valide"

Bonjour,

Laisse tomber HijackThis pour le moment.

Passe à la suite ...si cela fonctionne.

Et fais un scan avec antivir :

-Antivir de Avira : http://www.free-av.com/

Clique sur "download here" en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système.
(Attention pas disponible pour Vista 64 bits.)
Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.
http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.
Mets-le à jour .
Ce programme va cohabiter, le temps de faire la procédure suivante, avec l'antivirus en titre et sera désinstallé ou remplacera ce dernier selon ton libre choix.

Tu cliques sur l'icône du bureau pour lancer ou sur celle près de l'horloge.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
Il est préférable de ne pas s'éloigner pour répondre aux messages en cas de détection.
Tu choisis "Moved to quarantine" pour tout ce qu'il trouve et tu coches la case "Apply selection to all following detection".
Quand le scan est terminé, tu clique sur End.

@+

bonjour,

bon j'ai reussi à installer antivir mais seulement en mode sans echec ( et si je demarre en mode normal je suis obliger de double cliquer sur "safeboot_sp2.reg " pour reparer le mode sans echec

par contre internet marche pas sur ce pc à cause de l'infection donc j'ai pas pu faire de mise à jour de antivir..j'espere que ça ira.

en attendant voici le log de _OTMoveIt..mais il y a des fichiers dans _OTMoveIt/MovedFiles/03292008_144450/WINDOWS/system32/DGL ( ya deleteInfo.exe, DOUGLAS.EXE, HelperKBS.EXE...) je doit en faire quelquechoses???

voici le log mais y a pas grnad chose je sais pas si c'est normal

Folder move failed. C:\WINDOWS\system32\DGL scheduled to be moved on reboot.
C:\Muestras moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03292008_144450

je t'envoie rapidement le log antivir

Bonsoir.

Pour OtMoveIt, c'est normal il affiche tout le contenu du dossier supprimé.

As-tu redémarré ?

@+

oui j'ai redémarré mais par contre au demarrage j'ai eu un message d'erreur comme quoi svhost (un truc comme ça) ne pouvais pas demarrer car HelperKbs.dll etait manquant et je l'ai rajouté dans system 32..sans doute une grosse betise de ma part..mais je peux refaire un OtMoveIt...

le scan, de antivir n'est pas encore finis, à la fin du scan je clique sur "report" pour avoir un log ?

hop voici le log de antivir, il a juste trouvé un fichier infecté que j'ai mis en quarantaine,

mais j'ai toujours les mêmes problèmes......

AntiVir PersonalEdition Classic
Report file date: samedi 29 mars 2008 18:01

Scanning for 835736 virus strains and unwanted programs.

Licensed to: Avira antivir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: natalia
Computer name: PIUPIU

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13/09/2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13/09/2007 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17/09/2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan Memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 29 mars 2008 18:01

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'hpgs2wnf.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
13 processes with 13 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\srosa.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was moved to '485d8c5a.qua'!

End of the scan: samedi 29 mars 2008 19:38
Used time: 1:36:42 min

The scan has been done completely.

5824 Scanning directories
179360 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
179359 Files not concerned
6707 Archives were scanned
1 Warnings
0 Notes

Bonjour,

Avec OtMoveIt supprime ce fichier :

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

Et ton problème devrait s'arranger.

@+

bonjour Nardino

je suis chez moi pour le travail et c'est ma femme qui a le fameux portable infecté ( chez ses parent pour la semaine) j'essaye de lui faire faire par telephone mais c'est pas gagné..

sinon je m'en occupe le week end prochain et je te tiens au courant.

merci beaucoup pour ton aide

ça y'est j'ai enfin recupéré le portable

alors par contre comment je fais pour supprimer ce fichier avec OtMoveIt : C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE ??

merci d'avance

bon ça y'est j'ai supprimer le fichier de C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE avec OtMoveIt

Mais ça n'a rien changé

que doit je faire maintenant??

Bonsoir,

Tu recommence cette manip:

Télécharge ELIBAGLA (de MSC HotlineSat)
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Clique sur le bouton Descargar ELIBAGLA 11.25
(tout en bas de la page au dessus de Tamaño Descargados Licencia Web)
Pour télécharger le fichier sur le bureau.
Double-clique sur EliBaglA.exe.
Dans le cartouche Unidad, tu dois voir C:\

L'option en bas de la fenêtre "Eliminar Ficheros Automaticamente" doit être cochée.
Clique sur le bouton "Explorar" pour lancer l'analyse.

http://i18.servimg.com/u/f18/11/05/93/83/elibag10.jpg

Poste le rapport de fin d'analyse.
Tu le passes deux fois en mode normal et ensuite une fois en mode normal.

Et tu donnes des nouvelles.

@+

bonsoir,

voici le log: j'espere que j'ai bien fait la manip ( surtout par apport au fait de passer deux en mode normal et une fois en normal )

merci

Tue Apr 15 21:44:30 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Apr 15 21:45:09 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.EXE --> Eliminado Bagle.dldr
C:\_OTMoveIt\MovedFiles\03292008_144450\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V11.19 --> Eliminado Bagle.dldr

Nº Total de Directorios: 5816
Nº Total de Ficheros: 71535
Nº de Ficheros Analizados: 9707
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Tue Apr 15 21:59:29 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Tue Apr 15 21:59:38 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5815
Nº Total de Ficheros: 71538
Nº de Ficheros Analizados: 9705
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Apr 15 22:14:09 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Tue Apr 15 22:14:16 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Apr 15 22:22:12 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Apr 15 22:22:17 2008
EliBagle v11.26 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 5815
Nº Total de Ficheros: 71539
Nº de Ficheros Analizados: 9706
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Bonsoir.

Excuse-moi, dans ma réponse précédente j'ai fait un lapsus calami en écrivant deux fois mode normal.

Désactive provisoirement ton antivirus.
Télécharge Combofix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sur ton bureau IMPORTANT

Tu démarres en mode sans échec :

Redémarrer en mode sans échec

SURTOUT EN MODE MANUEL, sans passer par msconfig

Tu refais un scan Elibagla.

Puis un scan Combofix

• Ferme toutes les fenêtres
• Double-clique sur ComboFix.exe (ne c