impossibilité d'instaler antivirus ou par feu

Bonjour mathyus7

- C'est une infection par Bagle

1/

==> Télécharge EliBaglA.exe http://www.zonavirus.com/datos/desc[...]95/elibagla.asp

[*] Clique en bas de la page sur le bouton Descargar Elibagla enregistre ce fichier sur le bureau.

- Double-clique EliBaglA.exe pour l'ouvrir

- Assure toi que dans le menu déroulant Unidadqu'il y aie bien C:\
-Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée

- Clique sur le bouton Explorar pour lancer l'analyse.

- L'analyse finie redémarre poste le rapport d'EliBaglA qui se trouve ici C:\InfoSat.txt

2/

- Refais un nouveau scan avec Hijackthis, poste son rapport

Bonjour geronimo et bonne année.....beaucoup de "bagle" debut 2008 !!

Bonjour xsh, en effet c'est une épidémie quatre aujourd'hui.

bonsoir,voici les rapports demandé .à priori cette fois le par feu win c'est mis en route au démarrage c'est plutôt bon signe!marre de norton avg ou avast en free pour remplacer?

Tue Jan 01 19:13:14 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Jan 01 19:13:59 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5031
Nº Total de Ficheros: 67968
Nº de Ficheros Analizados: 13299
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Jan 01 19:59:45 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Tue Jan 01 20:10:33 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\14466281.EXE --> Eliminado Bagle

Nº Total de Directorios: 5032
Nº Total de Ficheros: 68060
Nº de Ficheros Analizados: 13302
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 1

Tue Jan 01 20:23:06 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado

Tue Jan 01 20:28:56 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Jan 01 20:29:02 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5039
Nº Total de Ficheros: 68025
Nº de Ficheros Analizados: 13320
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Logfile of HijackThis v1.99.1
Scan saved at 20:35:33, on 01/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\eric\Bureau\divers\anti virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX600] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O6 "USB001" /M "Stylus Photo RX600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" /dontopenmycards
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_[...]ata/ocx/MDM.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://erhyum.spaces.live.com//Phot[...]ad/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52[...]meInstaller.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microso[...]b?1135621302546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/[...]all/xscan53.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/conf[...]countHelper.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA91E728-DE2D-4F2D-B23E-570F0145F001}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winpsa32 - winpsa32.dll (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

==>

- Télécharge combofix.exe (de sUBs) de l'un de ces liens
http://download.bleepingcomputer.co[...]Bs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe enregistre ce fichier sur le bureau (impératif)


* Double clique combofix.exe tape 1 valide par Entrée pour lancer le scan

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

*** Combofix est détecté par certains antivirus comme une infection, il s'agit d'un "faux positif"

*** N'en tiens pas compte continue la procédure

bonsoir,merci Geronimo de t'occuper de mon cas.
je n'est tjs pas installé de nouveau antivirus pour le parfeu j'ai celui de XP(suffit -il?) voici le rapport combofix:
ComboFix 07-12-31.4 - eric 2008-01-02 0:02:32.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.236 [GMT 1:00]
Running from: C:\Documents and Settings\eric\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\components
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-01 to 2008-01-01 ))))))))))))))))))))))))))))))))))))
.

2008-01-02 00:00 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-01 19:12 . 2008-01-01 19:12 <REP> d-------- C:\Muestras
2008-01-01 17:13 . 2008-01-01 20:17 <REP> d-------- C:\Documents and Settings\eric\.housecall6.6
2007-12-31 03:15 . 2007-12-31 03:15 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-31 03:15 . 2007-12-31 03:15 52,969 --a------ C:\WINDOWS\system32\vsconfig.xml
2007-12-31 03:13 . 2007-12-31 03:15 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-30 18:31 . 2007-12-30 18:31 <REP> d-------- C:\WINDOWS\report
2007-12-30 18:31 . 2007-12-30 18:30 37,870,013 --a------ C:\WINDOWS\LPT$VPN.919
2007-12-30 18:30 . 2007-12-30 18:30 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-30 18:30 . 2007-12-30 18:30 37,870,013 --a------ C:\WINDOWS\VPTNFILE.919
2007-12-30 18:30 . 2007-12-30 18:30 1,906,226 --a------ C:\WINDOWS\tsc.ptn
2007-12-30 18:30 . 2007-12-30 18:30 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-30 18:30 . 2007-12-30 18:30 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-30 18:30 . 2007-12-30 18:30 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-30 18:30 . 2007-12-30 18:30 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-30 18:30 . 2007-12-30 19:36 823 --a------ C:\WINDOWS\tsc.ini
2007-12-30 18:24 . 2007-12-30 18:30 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-30 18:24 . 2007-12-30 18:24 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-30 18:24 . 2007-12-30 18:24 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-30 18:24 . 2007-12-30 18:24 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-30 18:24 . 2007-12-30 18:24 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-30 18:24 . 2007-12-30 18:24 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-30 17:24 . 2007-02-28 17:02 2,138,112 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2007-12-30 17:24 . 2007-02-28 17:02 2,138,112 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-12-30 17:03 . 2007-12-31 02:17 <REP> d-------- C:\Program Files\Symantec
2007-12-30 17:03 . 2007-12-31 02:18 <REP> d-------- C:\Program Files\Norton AntiVirus
2007-12-29 23:17 . 2008-01-01 20:15 <REP> d-------- C:\WINDOWS\system32\drivers\down
2007-12-29 23:17 . 2004-01-12 04:07 711,926 --------- C:\WINDOWS\system32\drivers\hldrrr.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-31 02:56 --------- d-----w C:\Program Files\eMule
2007-12-31 01:18 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-12-31 00:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-30 12:45 --------- d-----w C:\Program Files\a-squared Free
2007-12-29 22:43 --------- d-----w C:\Program Files\Smart Panel
2007-12-25 18:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-22 15:17 --------- d-----w C:\Program Files\MediaCoder
2007-11-15 16:45 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-r C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-10 17:51 218,112 ----a-w C:\Program Files\HijackThis.exe
2005-11-16 00:04 45,584 ----a-w C:\Documents and Settings\eric\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gestionnaire Antidote.exe"="C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe" [2004-01-12 04:07 711926]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 14:19 4841472]
"nwiz"="nwiz.exe" [2003-07-28 14:19 323584 C:\WINDOWS\system32\nwiz.exe]
"Dit"="Dit.exe" [2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe]
"Cmaudio"="cmicnfg.cpl" [2003-03-25 15:34 929792 C:\WINDOWS\CMICNFG.CPL]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 14:55 153088]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-05 08:55 393728]
"EPSON Stylus Photo RX600"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.exe" [2003-09-11 04:00 99840]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-01-31 23:54 98304]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51 172032]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-22 15:58 180269]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263]
"eCarteBleue-CLEO"="C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" [2006-02-07 09:07 200704]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-03-21 14:00 78848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32]
winpsa32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 09:23]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2003-05-15 14:04]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2003-05-15 14:04]
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2003-05-22 16:44]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]
S3 PortlUSB;PortlUSB;C:\WINDOWS\system32\DRIVERS\YH-925.sys [2004-06-24 13:52]
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 09:23]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 06:58]
S4 NPDriver;Norton Unerase Protection Driver;C:\WINDOWS\system32\Drivers\NPDRIVER.SYS [2002-08-14 06:03]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-28 19:05:42 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 00:06:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-02 0:08:33 - machine was rebooted [eric]
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-01 23:08:31
.
2007-12-12 18:08:51 --- E O F ---

j'aperçois encore des traces de norton et symantec est-ce important pour installer un nouveau antivirus?

Bonsoir mathyus7

Geronimo. Peux tu passer par ici. Merci. L'épidémie continue.

http://www.sosordi.net/Depannage/Qu[...]ion.162303.html

Bonjour mathyus7

- Imprime ces instructions tu en auras besoin.

=========================================

- Utilise Norton_Removal_Tool.exe pour désinstaller totalement Norton : http://service1.symantec.com/SUPPOR[...]v=&osv_lvl=



=========================================



1/ Clique sur Démarrer/Exécuter tape notepad clique sur Ok

Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

Citation :

File:: C:\WINDOWS\system32\drivers\hldrrr.exe C:\Documents and Settings\eric\Application Data\GDIPFONTCACHEV1.DAT Folder:: C:\Program Files\Fichiers communs\Symantec Shared C:\Program Files\Symantec C:\Program Files\Norton AntiVirus

- Copie la sélection dans le bloc notes

- Enregistre ce fichier sur le bureau (impératif)


- Nom du fichier : CFScript
- Type du fichier : tous les fichiers
- clique sur Enregistrer
- Quitte le Bloc Notes.


2/ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture http://img.photobucket.com/albums/v[...]Bs/CFScript.gif


[*] Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.

[*] Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt


=========================================

- Télécharge et installe Antivir : http://www.malekal.com/tutorial_antivir.php

- Fais un scan avec en mode sans échec, poste ensuite son rapport.

bonsoir,il y a comme un problème j'ai fait tout cela et malheureusement le centre de securité win de fonctionne plus ni antivir au démarrage .en mode sans echec il à bien detecté un truc que j'ai supprimé voisi les rapports

ComboFix 07-12-31.4 - eric 2008-01-02 19:18:27.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.264 [GMT 1:00]
Running from: C:\Documents and Settings\eric\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\eric\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\Documents and Settings\eric\Application Data\GDIPFONTCACHEV1.DAT
C:\WINDOWS\system32\drivers\hldrrr.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\eric\Application Data\GDIPFONTCACHEV1.DAT
C:\WINDOWS\system32\drivers\hldrrr.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-02 to 2008-01-02 ))))))))))))))))))))))))))))))))))))
.

2008-01-02 00:00 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-01 19:12 . 2008-01-01 19:12 <REP> d-------- C:\Muestras
2008-01-01 17:13 . 2008-01-01 20:17 <REP> d-------- C:\Documents and Settings\eric\.housecall6.6
2007-12-31 03:15 . 2007-12-31 03:15 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-31 03:15 . 2007-12-31 03:15 52,969 --a------ C:\WINDOWS\system32\vsconfig.xml
2007-12-31 03:13 . 2007-12-31 03:15 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-30 18:31 . 2007-12-30 18:31 <REP> d-------- C:\WINDOWS\report
2007-12-30 18:31 . 2007-12-30 18:30 37,870,013 --a------ C:\WINDOWS\LPT$VPN.919
2007-12-30 18:30 . 2007-12-30 18:30 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-30 18:30 . 2007-12-30 18:30 37,870,013 --a------ C:\WINDOWS\VPTNFILE.919
2007-12-30 18:30 . 2007-12-30 18:30 1,906,226 --a------ C:\WINDOWS\tsc.ptn
2007-12-30 18:30 . 2007-12-30 18:30 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-30 18:30 . 2007-12-30 18:30 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-30 18:30 . 2007-12-30 18:30 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-30 18:30 . 2007-12-30 18:30 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-30 18:30 . 2007-12-30 19:36 823 --a------ C:\WINDOWS\tsc.ini
2007-12-30 18:24 . 2007-12-30 18:30 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-30 18:24 . 2007-12-30 18:24 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-30 18:24 . 2007-12-30 18:24 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-30 18:24 . 2007-12-30 18:24 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-30 18:24 . 2007-12-30 18:24 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-30 18:24 . 2007-12-30 18:24 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-30 17:24 . 2007-02-28 17:02 2,138,112 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2007-12-30 17:24 . 2007-02-28 17:02 2,138,112 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-12-29 23:17 . 2008-01-01 20:15 <REP> d-------- C:\WINDOWS\system32\drivers\down

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-31 02:56 --------- d-----w C:\Program Files\eMule
2007-12-31 00:41 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
2007-12-30 12:45 --------- d-----w C:\Program Files\a-squared Free
2007-12-29 22:43 --------- d-----w C:\Program Files\Smart Panel
2007-12-25 18:58 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-12-22 15:17 --------- d-----w C:\Program Files\MediaCoder
2007-11-15 16:45 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-r C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2006-12-10 17:51 218,112 ----a-w C:\Program Files\HijackThis.exe
1998-07-31 10:06 7,488 ----a-w C:\WINDOWS\inf\unregpn.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-02_ 0.08.19.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-02-15 17:01:04 1,476,992 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll
- 2006-11-17 14:14:32 15,664 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-10-08 13:46:18 14,640 ------w C:\WINDOWS\system32\spmsg.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gestionnaire Antidote.exe"="C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe" [2004-01-12 04:07 711926]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 14:19 4841472]
"nwiz"="nwiz.exe" [2003-07-28 14:19 323584 C:\WINDOWS\system32\nwiz.exe]
"Dit"="Dit.exe" [2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe]
"Cmaudio"="cmicnfg.cpl" [2003-03-25 15:34 929792 C:\WINDOWS\CMICNFG.CPL]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 14:55 153088]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-05 08:55 393728]
"EPSON Stylus Photo RX600"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.exe" [2003-09-11 04:00 99840]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-01-31 23:54 98304]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51 172032]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-22 15:58 180269]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263]
"eCarteBleue-CLEO"="C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" [2006-02-07 09:07 200704]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-03-21 14:00 78848]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-03-23 23:34:19]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32]
winpsa32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 09:23]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2003-05-15 14:04]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2003-05-15 14:04]
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2003-05-22 16:44]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 06:58]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]
S3 PortlUSB;PortlUSB;C:\WINDOWS\system32\DRIVERS\YH-925.sys [2004-06-24 13:52]
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 09:23]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 19:20:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-02 19:21:00
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-02 18:20:45
C:\qoobox\ComboFix2.txt 2008-01-01 23:08:33
.
2007-12-12 18:08:51 --- E O F ---


AntiVir PersonalEdition Classic
Report file date: mercredi 2 janvier 2008 19:51

Scanning for 999037 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Administrateur
Computer name: ORDI

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 18:36:38
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28/12/2007 18:36:38
ANTIVIR3.VDF : 7.0.1.186 71168 Bytes 02/01/2008 18:36:38
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 02/01/2008 18:36:40
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 02/01/2008 18:36:40
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Hard Disks
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 2 janvier 2008 19:51

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
10 processes with 10 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '37' files ).


Starting the file scan:

Begin scan in 'C:\' <BOOT>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Mes téléchargements\Antibagle-fr.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\antivir_workstation_win7u_en_h.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\avg75free_516a1225.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\ComboFix.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\EliBaglA.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\NeatSetup.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\SAGEMFast800TISCALI.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\WindowsXP-KB835935-SP2-FRA.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\WindowsXP-KB884020-x86-fra.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\zaSetup_fr.exe
[WARNING] The file could not be opened!
C:\Mes téléchargements\zaZA_Setup_fr.exe
[WARNING] The file could not be opened!
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was deleted!
C:\Program Files\Monkey's Audio\dBpowerAMP-codec-MonkeysAudio.exe
[WARNING] The file could not be opened!
C:\Program Files\SAGEM\SAGEM F@st 800-840\enddisk.exe
[WARNING] The file could not be opened!
C:\Program Files\SAGEM\SAGEM F@st 800-840\enddisk32.exe
[WARNING] The file could not be opened!
C:\Program Files\SAGEM\SAGEM F@st 800-840\sagemmtu.exe
[WARNING] The file could not be opened!
C:\Program Files\SAGEM\SAGEM F@st 800-840\Drivers\adildr.sys
[WARNING] The file could not be opened!
C:\WINDOWS\autoclk.exe
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB824141$\user32.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826939$\itss.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\es.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB835732$\xpsp2res.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\dao360.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\expsrv.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msexch40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msexcl40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msjet40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msjetol1.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msjetoledb40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msjint40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msjter40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msjtes40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msltus40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\mspbde40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msrd2x40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msrd3x40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msrepl40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\mstext40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\mswdat10.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\mswstr10.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\msxbde40.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB837001$\vbajet32.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB839645$\shell32.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB839645$\shlwapi.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB839645$\sxs.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallKB839645$\xpsp2res.dll
[WARNING] The file could not be opened!
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll
[WARNING] The file could not be opened!
C:\WINDOWS\system32\coclassfast.dll
[WARNING] The file could not be opened!
C:\WINDOWS\system32\qxpemssg.exe
[WARNING] The file could not be opened!
Begin scan in 'D:\' <BACKUP>
Begin scan in 'E:\' <RECOVER>


End of the scan: mercredi 2 janvier 2008 21:27
Used time: 1:36:09 min

The scan has been done completely.

6536 Scanning directories
301349 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
97 Files cannot be scanned
301348 Files not concerned
7805 Archives were scanned
97 Warnings
8 Notes

impossible de relancer antivir et le centre de securité

- Le centre de sécurité on s'en occupera aprés.

- Désinstalle Antivir
- Redémarre, réinstalle Antivir

bonjour,rien à faire après dé installation de antivir impossible de le réinstaller (il commence mais aprés la deuxieme fenetre il me demande de redémarrer ,dois-je tout recommencer?
merci

Bonjour

Refais un scan aec combofix, poste son rapport

bonjour Geronimo,

pour être plus précis sur mon dernier message :lors de l'installation de antivir j'ai un message d'erreur disant:

"some files could not be created please close all application rebboot and restart this installation".

ça planterait ici:
Extracting basic\avadmin.exe
Cannot create basic\avadmin.exe
Extracting basic\avcenter.exe
Cannot create basic\avcenter.exe
Extracting basic\avconfig.exe
Cannot create basic\avconfig.exe
Extracting basic\avgnt.exe
Cannot create basic\avgnt.exe
Extracting basic\avguard.exe
Cannot create basic\avguard.exe
Extracting basic\avnotify.exe
Cannot create basic\avnotify.exe
Extracting basic\avscan.exe
Cannot create basic\avscan.exe
Extracting basic\guardgui.exe
Cannot create basic\guardgui.exe
Extracting basic\imp64b.exe
Extracting basic\licmgr.exe
Cannot create basic\licmgr.exe
Extracting basic\preupd.exe
Cannot create basic\preupd.exe
Extracting basic\sched.exe
Cannot create basic\sched.exe
Extracting basic\setup.exe
Extracting basic\update.exe
Cannot create basic\update.exe

j'ai déinstaller combofix sur C/
telechargé combofix sur le lien donné plus haut et mis sur le bureau voici le scan:
(pour info dois-je cocher "désactiver la restauration du système" ds propriété systeme lors d'un scan combofix ou antivirus?)

ComboFix 08-01-03.3 - eric 2008-01-04 17:21:38.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.259 [GMT 1:00]
Running from: C:\Documents and Settings\eric\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\srosa.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))
.

2008-01-04 01:49 . 2007-02-28 17:02 2,138,112 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-01-04 01:49 . 2007-02-28 17:02 2,138,112 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-01-02 22:47 . 2004-01-12 04:07 711,926 --------- C:\WINDOWS\system32\drivers\hldrrr.exe
2008-01-02 19:34 . 2008-01-04 01:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-02 00:00 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-01 17:13 . 2008-01-01 20:17 <REP> d-------- C:\Documents and Settings\eric\.housecall6.6
2007-12-31 03:15 . 2007-12-31 03:15 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-31 03:15 . 2007-12-31 03:15 52,969 --a------ C:\WINDOWS\system32\vsconfig.xml
2007-12-31 03:13 . 2007-12-31 03:15 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-30 18:31 . 2007-12-30 18:31 <REP> d-------- C:\WINDOWS\report
2007-12-30 18:31 . 2007-12-30 18:30 37,870,013 --a------ C:\WINDOWS\LPT$VPN.919
2007-12-30 18:30 . 2007-12-30 18:30 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-30 18:30 . 2007-12-30 18:30 37,870,013 --a------ C:\WINDOWS\VPTNFILE.919
2007-12-30 18:30 . 2007-12-30 18:30 1,906,226 --a------ C:\WINDOWS\tsc.ptn
2007-12-30 18:30 . 2007-12-30 18:30 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-30 18:30 . 2007-12-30 18:30 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-30 18:30 . 2007-12-30 18:30 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-30 18:30 . 2007-12-30 18:30 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-30 18:30 . 2007-12-30 19:36 823 --a------ C:\WINDOWS\tsc.ini
2007-12-30 18:24 . 2007-12-30 18:30 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-30 18:24 . 2007-12-30 18:24 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-30 18:24 . 2007-12-30 18:24 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-30 18:24 . 2007-12-30 18:24 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-30 18:24 . 2007-12-30 18:24 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-30 18:24 . 2007-12-30 18:24 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-29 23:17 . 2008-01-01 20:15 <REP> d-------- C:\WINDOWS\system32\drivers\down

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-03 23:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-31 02:56 --------- d-----w C:\Program Files\eMule
2007-12-31 00:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-30 12:45 --------- d-----w C:\Program Files\a-squared Free
2007-12-29 22:43 --------- d-----w C:\Program Files\Smart Panel
2007-12-22 15:17 --------- d-----w C:\Program Files\MediaCoder
2007-11-15 16:45 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-r C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-10 17:51 218,112 ----a-w C:\Program Files\HijackThis.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gestionnaire Antidote.exe"="C:\Program Files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe" [2004-01-12 04:07 711926]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 14:19 4841472]
"nwiz"="nwiz.exe" [2003-07-28 14:19 323584 C:\WINDOWS\system32\nwiz.exe]
"Dit"="Dit.exe" [2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe]
"Cmaudio"="cmicnfg.cpl" [2003-03-25 15:34 929792 C:\WINDOWS\CMICNFG.CPL]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 14:55 153088]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-05 08:55 393728]
"EPSON Stylus Photo RX600"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.exe" [2003-09-11 04:00 99840]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-01-31 23:54 98304]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51 172032]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-22 15:58 180269]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263]
"eCarteBleue-CLEO"="C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" [2006-02-07 09:07 200704]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-03-21 14:00 78848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32]
winpsa32.dll

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 09:23]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2003-05-15 14:04]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2003-05-15 14:04]
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2003-05-22 16:44]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]
S3 PortlUSB;PortlUSB;C:\WINDOWS\system32\DRIVERS\YH-925.sys [2004-06-24 13:52]
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 09:23]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 06:58]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 17:24:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-04 17:26:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-04 16:26:42
.
2007-12-12 18:08:51 --- E O F ---

Supprime C:\WINDOWS\system32\drivers\ hldrrr.exe <== Ce fichier

- Vide la corbeille

- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActivX

- Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
- Utilise ensuite cjoint.com http://cjoint.com/ pour poster en lien ton rapport

- Clique sur Parcourir pour aller chercher le rapport de kaspersky
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.



- Pour t'aider à utiliser le scan en ligne http://www.malekal.com/scan_Av_en_l[...]#mozTocId291566
- Si tu as un probléme pour l'installation du Contrôle ActivX lis ceci http://cybersecurite.xooit.com/t123[...]les-ActiveX.htm

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

bonsoir,
je suis à la moitié du scan kaspersky et il a trouvé 1 virus et 2 fichiers infectés.
faut-il a la fin en plus de ce que tu m'as demandé de faire ,lancer un nettoyage si il est proposé ?

- Si il est proposé fais le dans tous les cas poste le rapport de kaspersky

je ne vois rien de proposé ou je vois mal mais voici le lien

http://cjoint.com/?bdwtM22kjb

ce bagle est bien récalcitrant!!!

Désinstalle Druide Antidote son exécutable est infecté par Bagle

- Supprime C:\Program Files\ Druide <== ce dossier

- Vide la corbeille

- Désactive la restauration du systéme sur tous les lecteurs.

- Comment désactiver la restauration du systéme : http://www.libellules.ch/desactiver[...]estauration.php

- Redémarre, réactive la restauration du systéme

Edité par Geronimo le 03/01/2008 à 22:37

après suppression du fichier j'ai refait un scan kaspersky
apparemment plus de trace...?

http://cjoint.com/?beaYaTcxqj

je vais retenter une instal antivir et voir demain si ça va mieux.

bonjour geronimo,on dirait que tu as fais du beau boulot!
à priori ça fonctionne mieux :antivir dont voici un scan
http://cjoint.com/?becbfoRrKJ
et le centre de securité win aussi avec son par-feu xp.
suffit-il car avant j'avais celui de norton?
peux tu m'en conseiller un le cas échéant qui soit compatible avec antivir
merci

salut
desactive le centre de securite le parefeux windows le systeme ne s'en portera que mieux...
un conseil regarde les services qui tournent...
certains sont inutiles et meme dangereux genre acces a la base de registre a distance
pour un pare feu que souhaite tu ? un facile d'emploi un peu moins fiable ou un peu compliqué mais de meilleure fiabilité ?
pour ma part j'utilise kerio mais c'est pas la panace
je prefere outpost mais celui ci est payant
cordialement

Bonjour mathyus7

- Vide la quarantaine d'Antivir
- Supprime C:\qoobox
- Vide la corbeille.

=====================================

- Télécharge et installe PC Tools Firewall Plus http://www.pctools.com/fr/firewall/

- Installation : http://www.kachouri.com/tuto/tuto-3[...]ewall-plus.html

- Utilisation : http://www.kachouri.com/tuto/tuto-3[...]ewall-plus.html

bonsoir,
merci hathor pour tes conseilles je vais essayer pc tools proposé par Geronimo,si j'ai des difficultés avec j'essaierais les tiens.
Grand merci à Geromino pour ses conseilles avisés et pros ,apparemment mon pc fonctionne beaucoup mieux.
une petit dernière chose encore
au premiers lancement internet (firefox) pc tools m'a demandé l'autorisation pour c'est .exe windows ,est-ce normale?

LSA Shell (Export Version) d'ici C:\Windows\System32\Lsass.exe
(Droits de connexion non déterminés Écoute autorisée ...?)

Generic Host Process for Win32 Services ici C:\Windows\System32\Svchost.exe

Applications Services et Contrôleur ici C:\Windows\System32\Services.exe

Application d'ouverture de session Windows NT ici
C:\Windows\System32\Winlogon.exe

encore merci et bon week end.

Tu peux autoriser

- Le centre de sécurité il y a belle lurette qu'il est désactivé sur mes postes.

- Je te te donne la manip au cas où

- Clique sur Démarrer/Exécuter tape services.msc
- Repére ce service :

Centre de sécurité

Double clic dessus :

==> A Statut du service clique sur Arrêter

==> A Type de démarrage choisis Désactivé. Quitte le gestionnaire des services.