Bagle resiste à la désinfection

j'ai crée une aide pour ca
et n'oublie pas de renomme comme je le preconise
http://sherred-aide-info-xp.forumperso.com/... toutes règles absolues est vrai , jusqu'à son contraire ...(­sherred)

Je suis en train de faire le scan elibagle : j'avais déjà essayé en le renommant mdelk.exe je recommence avec Wintems.exe j'en suis à 10 minutes de scan et déjà une bonne cinquantaine de "acceso denegado a la carpeta"

Je post une fois le scan fini pour voir si combofix marche car je l'avais déjà renommé en killbagle.exe mais le soft ne se lançait pas après que la barre de progression soit finie.

Merci de ta réponse

les a tu retelecharger avant de les renommer? toutes règles absolues est vrai , jusqu'à son contraire ...(­sherred)

Oui je les ai télécharger avec tes liens.
Le scan de elibagle ne provoque aucune boite de dialogue et ne genere aucun log.
Combofix rennomé refuse de se lancer.

En mode sans echec :
Elibagle m'indique par une boite de dialogue qu'un log a été créer, le voici :

Tue Aug 19 13:42:17 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Aug 19 13:42:18 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 15329
Nº Total de Ficheros: 113449
Nº de Ficheros Analizados: 13149
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Il a pas l'air comme dans les tutos ....

Que faire ?

Merci pour tes réponses

télecharge ici http://www.clubic.com/lancer-le-telechargement-51452-0-hijac­kthis.html


Lance HijackThis en double cliquant sur son icône puis cliquez sur le bouton Do a system scan only

Le rapport est retranscrit aussitôt apres le scan dans une fenêtre de type Bloc-notes
copier/coller le rapport

puis


essaye malwarebyte-s

http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
http://www.malekal.com/download/comctl32.ocx
Faites les mises à jour
puis en mode sans échec
Lancez le ,en examen complet ,sur tous tes disques durs
Une fois le scan terminé, cliquez sur supprimer tous ce qu'il trouve
poste le rapport toutes règles absolues est vrai , jusqu'à son contraire ...(­sherred)

Salut,

Pour suivre merci A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + TChiki.

Salut chiquitine j'ai lu ton topic je pense que j'ai le même problème que toi...

Je post le rapport malwarebyte-s en mode sans echec :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1070
Windows 6.0.6001 Service Pack 1

15:09:34 19/08/2008
mbam-log-08-19-2008 (15-09-34).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 178840
Temps écoulé: 25 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Windows\System32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\System32\drivers\downld\203890.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\218656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\225125.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\228437.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\279578.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\288656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\4847375.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\downld\4882796.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Re

Je post le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:38, on 19/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\SOUNDMAN.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\Windows\TEMP\E_S3D2A.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series (Copie 1)] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\Windows\TEMP\E_SAF31.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerVistaADP-1.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EasyBoxApache - Apache Software Foundation - C:\Program Files\EasyBox\Apache\Apache.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
End of file - 6472 bytes

a tu tous les droits administrateur ?
voir ici --->http://sherred-aide-info-xp.forumperso.com/...



ensuite charge ceci et execute le
http://www.symantec.com/...

toutes règles absolues est vrai , jusqu'à son contraire ...(sherred)

Je rentre de vacances dsl...

Alors j'ai soit disant les droits administrateur car j'avais fait la manipulation dans panneau de config/compte utilisateur néanmoins même si c'est marqué j'ai pas les droits...

Oui depuis le virus windows à réactivé toutes les protections et me demande sans arrêt mon autorisation pour tout.

Du coup le soft veut pas se lancer

Décidément je suis vraiment coincé...

Depuis hier je peux plus redémarrer avec plus d'un port USB occuper sinon ça plante dès le premier écran là ou le PC test la RAM.

Merci de ton aide

Salut,

Telecharge FindB :

- Fas un clic droit sur le lien, enregistrer sous .... sur le bureau


---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe


--> Double clic sur FindB

--> Post le rapport FindB.txt dans ton prochain message

Note : le rapport FindB.txt est sauvegardé a la racine du disque

A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + T' Chiki.

Salut à tous,

Le findB "ne dispose pas d'un privilège nécessaire" et donc ça marche pas !

Le truc c'est que je pense que Bagle est parti mais j'ai pas mal de problèmes :

- Je vois plus les miniatures dans les dossiers et lors de la suppression du fichier qu'elles représentent.
- Je suis "Administrateur de ma machine mais en fait je dois sans cesse reconfigurer tout et j'ai pas les droits administrateur en pratique (si je vais dans compte utilisateur je peux le désactiver mais en fait rien ne se passe de plus la case est déjà décochée comme si je l'avais déjà fait auparavant)
- Je ne peux plus voir les fichiers cachés (j'ai essayer de nombreuses méthodes sans succès)
- Lors que j'ai plusieurs USB branchés mon PC ne démarre pas.
- Tous les matins (mon PC reste allumé H24) j'ai un message de windows me spécifiant que tel ou tel service à arreté de fonctionner (mais tout marche normalement en surface).

Sinon de manière général même si beaucoup de softs de désinfection ne marche pas je n'est pas eu de rapport avec l'existence de bagle sur mon PC depuis que AVG l'a supprimé (je reste septique sur ce point)

Merci beaucoup je suis à la limite du format....

si tu fais un clc drot sur findB executer en tant qu administrateur ... A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + T' Chiki.

J'ai fais comme tu as dit je post le rapport :

+- FindB mis a jours le 27/08/08 par Chiquitine29



+- Recherche de fichier infectueux :




+- Recherche dans : C:\Windows\Prefetch :




+- Recherche dans : C:\Windows\system32 :




+- Recherche dans : C:\Windows\system32\drivers :




+- Recherche dans : C:\Users\Administrateur\AppData\Roaming :




+- Registre :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
SoundMan REG_SZ SOUNDMAN.EXE
NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
AVG8_TRAY REG_SZ C:\PROGRA~1\AVG\AVG8\avgtray.exe
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
NeroFilterCheck REG_SZ C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
NBKeyScan REG_SZ "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
EPSON Stylus DX4800 Series REG_SZ C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\Windows\TEMP\E_S3D2A.tmp" /EF "HKLM"
EPSON Stylus DX4800 Series (Copie 1) REG_SZ C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\Windows\TEMP\E_SAF31.tmp" /EF "HKLM"
AppleSyncNotifier REG_SZ C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
eMuleAutoStart REG_SZ C:\Program Files\eMule\emule.exe -AutoStart



+- Registre, recherche Srosa :



+- Recherche terminee !



+- Execute le : 29/08/2008 a 4:23:43,16

Merci encore !

bagle n est pas present sur ta machine

quels sont les autres soucis ? A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + T' Chiki.

Merci pour ta confirmation.

Mes autres soucis sont :

- Je vois plus les miniatures dans les dossiers et lors de la suppression du fichier qu'elles représentent.
- Je suis "Administrateur" de ma machine mais en fait je dois sans cesse reconfigurer tout et j'ai pas les droits administrateur en pratique (si je vais dans compte utilisateur je peux le désactiver mais en fait rien ne se passe de plus la case est déjà décochée comme si je l'avais déjà fait auparavant)
- Je ne peux plus voir les fichiers cachés (j'ai essayer de nombreuses méthodes sans succès)
- Lors que j'ai plusieurs USB branchés mon PC ne démarre pas.
- Tous les matins (mon PC reste allumé H24) j'ai un message de windows me spécifiant que tel ou tel service à arreté de fonctionner (mais tout marche normalement en surface).

Le plus embêtant est l'histoire des droits car ca me bloque pas mal de trucs en pratique.

Voilà voilà...

Merci.

ok

dis moi le parefeu marche, le centre de secu ok ?? windows update ok ??

Dis moi et je te dis quoi faire A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + T' Chiki.

Bien vu,

Le centre de sécurité est désactivé mais Windows Update marche normalement.

Que dois-je faire ?

je m absente quand je reviens je te dis les oprérations a effectuer A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + T' Chiki.