probleme avec le virus hldrrr

[dellact]

bonjour,
suite au telechargement d'un programme j'ai attrapper le virus hldrrr,le probleme est que je n'arrive pas a m'en debarrasser
a l'aide svp!
merci a l'avance

[Ask to Old Man]

Bonjour,

Avant que l'un de nos "Nettoyeurs" puissent te donner une procédure de nettoyage,
Lis & applique à la lettre ce Tutoriel HiJackThis. Poste ici le rapport demandé.

[dellact]

malheuresement ca bloque meme en le chargant dans le bureau et en le renommant,que faire?

[Grego]

Bonjour,

Télécharge killbox http://www.downloads.subratam.org/KillBox.exe

- Lance le
- dans Full path of file to Delete colle ça:
C:WINDOWSsystem32hldrrr.exe
- Tu coche delete on reboot
- Tu click sur la croix rouge.
- Tu confirme par YES

Soit l'ordi redémarre seul soit tu le redémarre toi.

Tu répète la même opération avec les fichiers

C:Documents and SettingsUTILISATEURApplication Datahidiresm_hook.sys

C:Documents and SettingsUTILISATEURApplication Datahidireshidr.exe

Et

C:WINDOWSsystem32wintems.exe

Tu supprime le dossier !Killbox qui se trouve dans C:/
Tu relance une analyse antivirus avec ton antivirus habituel.

Normalement il ne doit plus y être...

[r@in | b0w]

Bonjour.

La manipulation de Grego peut porter ses fruits.

Cependant, c'est un cas de Bagle, aussi plusieurs choses:


1_ il faut suivre le tutorial HiJackThis à la lettre et renommer HiJackThis avant de l'utiliser.

Dans ton cas, tu le renommes en hldrrr.exe;


2_ Tu supprimes tous les cracks présents sur ta machine, Bagle s'attrape avec des cracks vérolés.

Si tu ne le fais pas, au prochain lancement de ton crack, le virus reviendra.


3_ Tu ne dois pas tenter de redémarrer en Mode sans échec avec l'onglet msconfig.


Maintenant, tu supprimes HiJackThis puis tu le télécharges de nouveau.
Tu fais l'analyse et tu nous postes le rapport.


Ensuite, tu télécharges Elibagla en bas de cette page en cliquant sur le cadre nommé Descargar Elibagla xx,xx.

Avant d'utiliser l'application, tu la renommes.
Pour cela, tu fais un clic droit sur l'icône puis tu cliques sur Renommer et tu nommes l'utilitaire mdelk.exe puis tu appuies sur la touche [Entrée].

Tu double-cliques ensuite sur l'icône pour lancer l'application.

Dans le cadre Unidad, sélectionnes la partition contenant ton système d'exploitation si ce n'est pas C: par défaut.
Coches aussi la ligne Eliminar Ficheros Automaticamente si elle n'est pas cochée.

Tu passes ensuite au nettoyage en cliquant sur Explorar.

Tu nous postes ensuite le rapport d'analyse dans ton prochain message.

[dellact]

Grego,j'ai bien tout fait mais ca:
C:Documents and SettingsUTILISATEURApplication Datahidiresm_hook.sys

....UTILISATEUR je laisse comme ca ou je met le nom du pc?

sinon ca a l'air un peu mieux mais hldrrr est toujours la et il y a meme un truc qui s'appelle fec006 maintenant

desolé je suis pas caller en informatique mais j'ai de la patience

r@in | b0w je ne peux plus supprimer HiJackThis de mon bureau ni le renommer ni l'utiliser...j'ai direct renommer hldrrr.exe et maintenant ce veux meme plus aller a la corbeille.

supprimer tous les cracks...euhhh je veux bien mais la c'est du chinois pour moi héhé c'est quoi?comment faire stp?

Merci pour vos reponses c'est tres gentils

[r@in | b0w]

La gentillesse va vite s'épuiser.

Pour la manipulation de Grego, il faut remplacer Utilisateur par ton nom d'utilisateur.

Pour HiJackThis, tu laisses tomber et tu passes à EliBagla.

Et pour les cracks, cela correspond à tes fichiers téléchargés via des réseaux peer-to-peer (eMule, LimeWire).
Dans ton cas, c'est sûrement une application normalement payante disponible avec un keygen (code) pour l'activer.

Fais le ménage!

[dellact]

voila donc le rapport,du moin j'espere que c'est ca:

Sun Oct 05 19:54:58 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Sun Oct 05 20:03:52 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Oct 06 13:40:46 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Oct 06 13:41:30 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Oct 06 13:41:45 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.

Mon Oct 06 13:46:11 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Oct 06 13:46:22 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 10784
Nº Total de Ficheros: 89511
Nº de Ficheros Analizados: 16013
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Oct 06 17:09:14 2008
EliBagle v11.80 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.80
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Oct 06 18:49:13 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
C:\DOCUMENTS AND SETTINGS\CONFO\APPLICATION DATA\M\FLEC006.EXE --> Bagle Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Oct 06 18:49:31 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Oct 06 18:50:12 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Oct 06 18:50:29 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle

Mon Oct 06 18:51:39 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Oct 06 18:51:46 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

[r@in | b0w]

Oui, c'est bien cela mais tu as fait combien de scans?

Le premier date d'hier, tu t'es renseigné un peu ou quoi.

Tu as supprimé tes cracks?


_ Si oui, tu redémarres en Mode sans échec.

Si cela ne fonctionne pas, il faut télécharger cet utilitaire que tu lances ensuite en Mode normal depuis ta session.

Il est censé réparer le Mode sans échec.

Tu redémarres ensuite en Mode sans échec.

Après être sur ta session, tu cliques sur Démarrer puis Tous les programmes, Accessoires et finalement Invite de commandes ou, si l'Invite de commandes n'est pas là, tu vas toujours dans Accessoires puis Outils système et enfin Invite de commandes.

Tu copies-colles chaque ligne en les validant une par une par [Entrée]:

Code: Tout sélectionner

del C:WINDOWSSYSTEM32WINTEMS.EXE
del C:WINDOWSSYSTEM32BAN_LIST.TXT
del C:WINDOWSSYSTEM32DRIVERSSROSA.SYS
del C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE
del C:DOCUMENTS AND SETTINGSCONFOAPPLICATION DATAMFLEC006.EXE

Tu redémarres en Mode normal puis tu fais un nouveau scan avec EliBagle et tu postes le rapport.

[dellact]

oui je cherche a tout va depuis hier mais etant novice c'est pas tres facile de comprendre directement;
alors j'ai essayé de demarrer en mode sans echec a 2 reprise,avec l'utilitaire que tu m'a filé,probleme,une page bleu s'affiche me disant en gros qu'il y a un virus alors j'ai pas pu aller plus loin,je viens de refaire des scans que voici:
Mon Oct 06 20:04:27 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:
C:Documents and SettingsconfoBureauMSNFixMSNFixackupWINTEMS.EXE --> Eliminado Bagle
C:MuestrasHLDRRR.EXE.MUESTRA ELIBAGLE V11.80 --> Eliminado Bagle.dldr
C:RECYCLERS-1-5-21-2064668072-833332252-3978930373-1005Dc2WINTEMS.EXE --> Eliminado Bagle
C:WINDOWSsystem32MDELK.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld14740859.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld14748046.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld14785453.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld14791843.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld170625.EXE --> Eliminado Bagle.VR
C:WINDOWSsystem32driversdownld183953.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld187671.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld191687.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld191875.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld192859.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld195078.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld196218.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld197796.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld197906.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld199062.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld200265.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld201531.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld203968.EXE --> Eliminado Bagle.VR
C:WINDOWSsystem32driversdownld204062.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld206109.EXE --> Eliminado Bagle.VR
C:WINDOWSsystem32driversdownld207218.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld208906.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld209765.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld212000.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld212578.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld212984.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld213468.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld217265.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld218562.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld219250.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld220328.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld222859.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld223703.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld225296.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld225406.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld225656.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld227843.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld228171.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld228531.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld228718.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld229531.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld232125.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld238640.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld241171.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld241281.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld242453.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld242937.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld245921.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld251281.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld255562.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld257234.EXE --> Eliminado Bagle.VR
C:WINDOWSsystem32driversdownld260578.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld281156.EXE --> Eliminado Bagle.VR
C:WINDOWSsystem32driversdownld571109.EXE --> Eliminado Bagle.VR
C:WINDOWSsystem32driversdownld609796.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld617578.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld643734.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld733640.EXE --> Eliminado Bagle
C:WINDOWSsystem32driversdownld932781.EXE --> Eliminado Bagle.VR

Nº Total de Directorios: 10753
Nº Total de Ficheros: 88390
Nº de Ficheros Analizados: 16181
Nº de Ficheros Infectados: 63
Nº de Ficheros Limpiados: 63


Mon Oct 06 20:15:53 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 10737
Nº Total de Ficheros: 88326
Nº de Ficheros Analizados: 16117
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

[r@in | b0w]

Ok.

Tentes à nouveau de démarrer en Mode sans échec, EliBagla a encore fait du ménage.

Si cela ne fonctionne toujours pas, tu télécharges ce fichier que tu enregistres

sur ton Bureau.

Tu fais un clic-droit sur le fichier puis tu cliques sur Extraire ici pour décompresser l'archive (si tu n'as pas de

décompresseur, prends 7 zip par exemple).

Tu double-cliques ensuite sursafeboot_sp2.reg et tu confirmes en cliquant sur Ok son inclusion dans la base de registre.

Ensuite, tu fais la manipulation avec l'Invite de commandes:

Après être sur ta session, tu cliques sur Démarrer puis Tous les programmes, Accessoires et finalement Invite de commandes ou, si l'Invite de commandes n'est pas là, tu vas toujours dans Accessoires puis Outils système et enfin Invite de commandes.

Tu copies-colles chaque ligne en les validant une par une par [Entrée]:

Code: Tout sélectionner

del C:WINDOWSSYSTEM32WINTEMS.EXE
del C:WINDOWSSYSTEM32BAN_LIST.TXT
del C:WINDOWSSYSTEM32DRIVERSSROSA.SYS
del C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE
del C:DOCUMENTS AND SETTINGSCONFOAPPLICATION DATAMFLEC006.EXE
del C:WINDOWSsystem32driversdownld

Tu redémarres en Mode normal puis tu fais un nouveau scan avec EliBagle et tu postes le rapport.

[dellact]

petite correction,je viens de ré-essayer et la le modesans echec a fonctionné comme avant,reste juste une chose quui m'a posé probleme quand je suis dans Invite de commandes,je tapes exactement les codes ligne par ligne en les validant:
del C:WINDOWSSYSTEM32WINTEMS.EXE
del C:WINDOWSSYSTEM32BAN_LIST.TXT
del C:WINDOWSSYSTEM32DRIVERSSROSA.SYS
del C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE
del C:DOCUMENTS AND SETTINGSCONFOAPPLICATION DATAMFLEC006.EXE
et a chaque coup ca me met que la n'existe pas est-ce normale?

[r@in | b0w]

Oui, tout gaze.

Cela veut dire que l'infection n'est plus.

Fais un nouveau scan d'EliBagla ainsi qu'un scan HiJackThis et postes les rapports.

[dellact]

voila le scan d'HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:05, on 06/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSehomeehtray.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesSonicDigitalMedia LE v7MyDVD LEDetectorApp.exe
C:PROGRA~1FICHIE~1AOLACSAOLacsd.exe
C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe
C:Program FilesPicasa2PicasaMediaDetector.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesGoogleGoogle Desktop SearchGoogleDesktopIndex.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesFichiers communsAOL1181119491eeAOLSoftware.exe
C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesQuickTimeqttask.exe
C:WINDOWSsystem32cisvc.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSeHomeehRecvr.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:WINDOWSeHomeehSched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft ActiveSyncwcescomm.exe
C:WINDOWSsystem32
vsvc32.exe
C:Documents and SettingsconfoLocal SettingsApplication DataVotre OpinionPanelAppPanelApp.exe
C:Program FilesDNAtdna.exe
C:WINDOWSsystem32HPZipm12.exe
C:Program FilesFichiers communsTeleca SharedCapabilityManager.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe
C:Program FilesHPDigital Imaginginhpqtra08.exe
C:PROGRA~1MICROS~2 apimgr.exe
C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe
C:PROGRA~1COMMON~1X10Commonx10nets.exe
C:Program FilesHPDigital Imaginginhpqimzone.exe
C:Program FilesHPDigital ImaginginhpqSTE08.exe
C:WINDOWSeHomeehmsas.exe
C:Program FilesiPodiniPodService.exe
C:WINDOWSsystem32dllhost.exe
c:program filesfichiers communsaol1181119491eeservicesantiSpywareAppver2_0_28_1AOLSP Scheduler.exe
c:program filesfichiers communsaol1181119491eeaolsoftware.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesFichiers communsTeleca SharedGeneric.exe
C:Program FilesFichiers communsAppleMobile Device Supportindistnoted.exe
C:Program FilesFichiers communsAppleMobile Device SupportinSyncServer.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleSyncUIHandler.exe
C:PROGRA~1AOL9~1.0VRwaol.exe
C:PROGRA~1AOL9~1.0VRshellmon.exe
C:WINDOWSsystem32cidaemon.exe
C:Program FilesFichiers communsAOLTopspeed3.0aoltpsd3.exe
C:Documents and SettingsconfoBureaumdelk.exe
C:Program FilesHiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://format.packardbell.com/cgi-bin/r ... ey=IESTART
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://format.packardbell.com/cgi-bin/r ... ey=IESTART
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://format.packardbell.com/cgi-bin/r ... ey=IESTART
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Packard Bell
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:Program FilesAOLAOL Toolbar 4.0aoltb.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayer pbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:Program FilesAOLAOL Toolbar 4.0aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier3.1.807.1746swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:APPSBAEBAE.dll
O2 - BHO: (no name) - {CB8BE49E-EA2F-45D5-9604-2DCFE5BFFD01} - C:WINDOWSsystem32vtsqo.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:Program FilesAOLAOL Toolbar 4.0aoltb.dll
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [ehTray] C:WINDOWSehomeehtray.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [DetectorApp] C:Program FilesSonicDigitalMedia LE v7MyDVD LEDetectorApp.exe
O4 - HKLM..Run: [ISUSPM Startup] C:PROGRA~1FICHIE~1INSTAL~1UPDATE~1ISUSPM.exe -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [Google Desktop Search] "C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe" /startup
O4 - HKLM..Run: [Picasa Media Detector] C:Program FilesPicasa2PicasaMediaDetector.exe
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [EULA] C:APPSPB_TBEULALauncher.exe
O4 - HKLM..Run: [AOLDialer] C:Program FilesFichiers communsAOLACSAOLDial.exe
O4 - HKLM..Run: [HostManager] C:Program FilesFichiers communsAOL1181119491eeAOLSoftware.exe
O4 - HKLM..Run: [Sony Ericsson PC Suite] "C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe" /startoptions
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [AppleSyncNotifier] C:Program FilesFichiers communsAppleMobile Device SupportinAppleSyncNotifier.exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [RealTray] C:Program FilesRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [I downloaded pirated Software from P2P ] C:WINDOWSsystem32Sims 2 Pets.exe
O4 - HKCU..Run: [SmpcSys] C:APPSSMPSmpSys.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft ActiveSyncwcescomm.exe"
O4 - HKCU..Run: [PanelApp] C:Documents and SettingsconfoLocal SettingsApplication DataVotre OpinionPanelAppPanelApp.exe
O4 - HKCU..Run: [BitTorrent DNA] "C:Program FilesDNAtdna.exe"
O4 - HKCU..Run: [Komunikator] C:Program FilesTlen.pl len.exe
O4 - HKCU..Run: [AOL Fast Start] "C:PROGRA~1AOL9~1.0VRAOL.EXE" -b
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:Program FilesHPDigital Imaginginhpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imaginginhpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - c:program filesaolaol toolbar 4.0 esourcesfr-FRlocalsearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MICROS~2INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MICROS~2INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MICROS~2INetRepl.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:Program FilesAOLAOL Toolbar 4.0aoltb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://scripts.dlv4.com/binaries/egacce ... _em_XP.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se4009.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://fdata.over-blog.com/99/00/00/01/ ... oader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fich ... _0_3_1.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egacce ... _em_XP.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/ac ... inder2.CAB
O20 - AppInit_DLLs: C:PROGRA~1GoogleGOOGLE~1GOEC62~1.DLL
O20 - Winlogon Notify: yayxwvv - yayxwvv.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:PROGRA~1FICHIE~1AOLACSAOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1150Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PanelSvc - Unknown owner - C:Program FilesVotre OpinionPanelAppPanelSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:PROGRA~1COMMON~1X10Commonx10nets.exe

--
End of file - 14379 bytes


et le scan d'EliBagla:

Mon Oct 06 21:16:47 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Mon Oct 06 21:16:49 2008
EliBagle v11.81 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 10750
Nº Total de Ficheros: 88365
Nº de Ficheros Analizados: 16115
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


tout est ok?

[r@in | b0w]

Alors EliBagla ne trouve plus rien, enfin.

J'espère vraiment que tu as supprimé tous tes cracks, sinon je te dis à dans les prochains jours.


Via HiJackThis, tu supprimes les lignes:

O2 - BHO: (no name) - {CB8BE49E-EA2F-45D5-9604-2DCFE5BFFD01} - C:WINDOWSsystem32vtsqo.dll (file missing)
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exeO4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osbootO4 - HKLM..Run: [RealTray] C:Program FilesRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [I downloaded pirated Software from P2P ] C:WINDOWSsystem32Sims 2 Pets.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O20 - Winlogon Notify: yayxwvv - yayxwvv.dll (file missing)


Ensuite, c'est quoi ce fichier:

C:WINDOWSsystem32Sims 2 Pets.exe présent à cette ligne O4 - HKLM..Run: [I downloaded pirated Software from P2P ] C:WINDOWSsystem32Sims 2 Pets.exe ?

Si tu ne sais pas, tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSsystem32Sims 2 Pets.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

Au passage et si tu n'es pas anglophone, [I downloaded pirated Software from P2P ] signifie J'ai téléchargé un logiciel piraté via le P2P.