HELP!!!!!! comment enlever wintems.exe

[elo123]

Bonjour,

Je crois que j'ai un virus sur mon ordi. (wintems.exe) Quelqu un pourrait m'aider a l enlever rapidement?! Il bloque avast, ccleaner etc etc.....

merci d avance

[r@in | b0w]

Bonjour.

Tu suis ce tutorial puis tu nous postes le rapport d'analyse dans ton prochain message.

Attention à bien suivre le mode opératoire, notamment renommer HiJackThis!

De plus, wintems.exe signifie ver Bagle.

Petit topo sur la situation: Bagle s'attrape en téléchargeant des cracks vérolés.

1_ Tu supprimes tous les cracks présents sur ta machine.
Après seulement, tu continues la procédure!


2_ Tu vas télécharger Toolbar S&D.

Tu double cliques ensuite sur l'icône Toolbar S&D pour lancer l'application.

Tu tapes sur la touche [F] pour sélectionner la langue française.

Tu appuies ensuite sur la touche [1] puis sur la touche [Entrée] pour lancer l'analyse.

Quand tu verras indiqué:

Code: Tout sélectionner

Fin du rapport à --:--:--,--

L'analyse sera finie.

Normalement, le rapport d'analyse s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.


3_ Tu télécharges Elibagla en bas de cette page en cliquant sur le cadre nommé Descargar Elibagla xx,xx.

Avant d'utiliser l'application, tu la renommes.
Pour cela, tu fais un clic droit sur l'icône puis tu cliques sur Renommer et tu nommes l'utilitaire mdelk.exe puis tu appuies sur la touche [Entrée].

Tu double-cliques ensuite sur l'icône pour lancer l'application.

Dans le cadre Unidad, sélectionnes la partition contenant ton système d'exploitation si ce n'est pas C: par défaut.
Coches aussi la ligne Eliminar Ficheros Automaticamente si elle n'est pas cochée.

Tu passes ensuite au nettoyage en cliquant sur Explorar.

Tu nous postes ensuite le rapport d'analyse dans ton prochain message.

Important: il ne faut pas tenter de redémarrer en Mode sans échec en utilisant msconfig car Bagle provoquerait un redémarrage infini.

[elo123]

Bonsoir!

oh la la merci de votre aide...

depuis ce matin je regarde les forums et j ai essayé de faires des choses mais je n arrive a rien dû tout! en 1er lieu je viens de voir que je n ai pas renommé HiJackThis, resultat il est sur mon bureau et je n arrive pas a le supprimer..... arf
Ensuite je ne sais pas comment supprimer les cracks?
oui je ne suis pas douee en ordi! lol

[elo123]

rebonsoir!

je viens de relire votre message et j ai vu le lien pour le tuto sur HiJackThis. je l ai renommé en sniffle et lorsque je veux l executer j ai un message d erreur : C:userselodesktopsniffle.exe n'est pas une application valide win32.
je ne comprend pas tres bien

[elo123]

ah la la il n y a plus personne!
J ai reinstaller hijckthis et voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:47, on 03/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:Windowssystem32Dwm.exe
C:Windowssystem32 askeng.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WindowsRtHDVCpl.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.EXE
C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe
C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe
C:Program FilesPicasa2PicasaMediaDetector.exe
C:Program FilesHPHP Software UpdatehpwuSchd2.exe
C:Program FilesWinampwinampa.exe
C:Program FilesWindows Sidebarsidebar.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Windowsehomeehtray.exe
C:Program FilesWindows Media Playerwmpnscfg.exe
C:Program FilesHPDigital Imaginginhpqtra08.exe
C:Program FilesMicrosoft OfficeOffice12ONENOTEM.EXE
C:Windowsehomeehmsas.exe
C:Program FilesWindows Sidebarsidebar.exe
C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe
C:Program FilesCommon FilesRoxio Shared9.0SharedCOMCPSHelpRunner.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe
C:Program FilesHPDigital ImaginginhpqSTE08.exe
C:Program FilesInternet Exploreriexplore.exe
C:Windowssystem32conime.exe
C:Windowsexplorer.exe
C:Windowssystem32SearchFilterHost.exe
C:UserseloDesktopsniffle2.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.ustart.org
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayer pbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesCommon FilesMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:Program FilesGoogleGoogle_BAEBAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [StartCCC] C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe
O4 - HKLM..Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM..Run: [Skytel] Skytel.exe
O4 - HKLM..Run: [RoxWatchTray] "C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe"
O4 - HKLM..Run: [Google Desktop Search] "C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe" /startup
O4 - HKLM..Run: [Picasa Media Detector] C:Program FilesPicasa2PicasaMediaDetector.exe
O4 - HKLM..Run: [toolbar_eula_launcher] C:Program FilesPackard BellGOOGLE_EULAEULALauncher.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_05injusched.exe"
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [WinampAgent] "C:Program FilesWinampwinampa.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeQTTask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [Sidebar] C:Program FilesWindows Sidebarsidebar.exe
O4 - HKCU..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU..Run: [SmpcSys] C:Program FilesPackard BellSetUpMyPCSmpSys.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [ehTray.exe] C:WindowsehomeehTray.exe
O4 - HKCU..Run: [WMPNSCFG] C:Program FilesWindows Media PlayerWMPNSCFG.exe
O4 - HKCU..Run: [EPSON Stylus DX8400 Series] C:Windowssystem32spoolDRIVERSW32X863E_FATICEE.EXE /FU "C:WindowsTEMPE_SB7B1.tmp" /EF "HKCU"
O4 - HKCU..Run: [wgqakio] "c:userseloappdatalocalwgqakio.exe" wgqakio
O4 - HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE RESEAU')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:Program FilesMicrosoft OfficeOffice12ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imaginginhpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3Office12REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Fac ... oader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resourc ... dfr-fr.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs: C:PROGRA~1GoogleGOOGLE~3GOEC62~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesCommon FilesAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:Program FilesATK HotkeyASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:Windowssystem32Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: F-Secure BlackLight Sensor - Unknown owner - C:UserseloAppDataLocalTempF-SecureBlackLightfsblsrv.exe (file missing)
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:Program FilesCommon FilesSureThing Sharedstllssvr.exe

--
End of file - 8999 bytes

[r@in | b0w]

Bonjour.

ah la la il n y a plus personne!

Disons que tout le monde ici est bénévole donc donne de son temps libre pour aider les autres.

A la vue de ma signature, on peut y lire Vermifuge absent jusqu'au 10/11, message d'absence pour signaler que je ne suis pas très présent.

En plus et en toute honnetteté, un Bagle s'attrape en voulant jouer au pirate, comprends bien que la motivation pour t'aider est un peu plus basse que d'habitude, tu ne récoltes que ce que tu as semé.

Ensuite je ne sais pas comment supprimer les cracks?
oui je ne suis pas douee en ordi! lol

Un crack, c'est un logiciel piraté du genre Adobe Photoshop ou Les Sims, en gros, un logiciel payant qui t'est donné gratuitement avec possibilité de keygen (clé d'activation).

C'est donc du piratage et certains pirates se servent des "besoins" des internautes pour remplacer les logiciels voulus par des virus, ce qui a été ton cas.

_ Pour HiJackThis, tu peux supprimer les lignes:

O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [WinampAgent] "C:Program FilesWinampwinampa.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeQTTask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [wgqakio] "c:userseloappdatalocalwgqakio.exe" wgqakio

Ensuite, tu lances Toolbar S&D.

_ De plus, une question: tu as quoi comme antivirus? Je n'en vois aucun d'installé!

_ Tu vas de plus sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier c:userseloappdatalocalwgqakio.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse et si au moins un antivirus a détecté une vermine, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenètre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenètre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

Je penche pour un Vundo.

_ Tu télécharges ComboFix.

Il faut désactiver l'UAC avant d'utiliser Navilog1.

Pour cela, il faut cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Comptes d'utilisateurs puis sur ]Activer ou désactiver le contrôle des comptes d'utilisateurs.

Une fenêtre de confirmation s'ouvrira, décoches la ligne Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis cliques sur Ok.

Le redémarrage demandé sera nécessaire pour que l'UAC soit inactive.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaA®tre à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

[elo123]

bonjour,

une petite question pour enlever les lignes sur HiJackThis je fais comment?

[r@in | b0w]

Tout ce que tu as besoin de savoir se trouve dans mes messages ou dans les liens.

Lis bien le tutorial, tout y est indiqué:

Tu suis ce tutorial puis tu nous postes le rapport d'analyse dans ton prochain message.

[elo123]

ok merci! je suis un peu paniqué je n ai jamais eu ca!
par contre je viens de faire combofix et voici le resultat

ComboFix 08-11-02.05 - elo 2008-11-04 10:51:06.1 - NTFSx86
Microsoft® Windows Vista™ Edition Familiale Premium 6.0.6001.1.1252.1.1036.18.2019 [GMT 1:00]
Lancé depuis: c:userseloDesktopCombo-Fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:InfoSat.txt
c:program filesPackard BellSetUpMyPCSmpSys.exe
c:userseloAppDataLocalwgqakio.dat
c:userseloAppDataLocalwgqakio.exe
c:userseloAppDataLocalwgqakio_nav.dat
c:userseloAppDataLocalwgqakio_navps.dat
c:userseloAppDataLocalwgqakio_navup.dat
c:windowssystem32driversdownld
c:windowssystem32driversdownld141477.exe
c:windowssystem32driversdownld146157.exe
c:windowssystem32driversdownld148809.exe
c:windowssystem32driversdownld150244.exe
c:windowssystem32driversdownld154269.exe
c:windowssystem32driversdownld161086.exe
c:windowssystem32driversdownld162880.exe
c:windowssystem32driversdownld162958.exe
c:windowssystem32driversdownld167186.exe
c:windowssystem32driversdownld171101.exe
c:windowssystem32driversdownld171694.exe
c:windowssystem32driversdownld172256.exe
c:windowssystem32driversdownld174783.exe
c:windowssystem32driversdownld17903844.exe
c:windowssystem32driversdownld17912908.exe
c:windowssystem32driversdownld17914764.exe
c:windowssystem32driversdownld184611.exe
c:windowssystem32driversdownld187794.exe
c:windowssystem32driversdownld196155.exe
c:windowssystem32driversdownld197637.exe
c:windowssystem32driversdownld199509.exe
c:windowssystem32driversdownld200851.exe
c:windowssystem32driversdownld212114.exe
c:windowssystem32driversdownld215359.exe
c:windowssystem32driversdownld231131.exe
c:windowssystem32driversdownld239227.exe
c:windowssystem32driversdownld240381.exe
c:windowssystem32driversdownld246684.exe
c:windowssystem32driversdownld247589.exe
c:windowssystem32driversdownld249024.exe
c:windowssystem32driversdownld250210.exe
c:windowssystem32driversdownld252550.exe
c:windowssystem32driversdownld276776.exe
c:windowssystem32driversdownld278212.exe
c:windowssystem32driversdownld291113.exe
c:windowssystem32driversdownld293344.exe
c:windowssystem32driversdownld293968.exe
c:windowssystem32driversdownld294077.exe
c:windowssystem32driversdownld305028.exe
c:windowssystem32driversdownld307774.exe
c:windowssystem32driversdownld312735.exe
c:windowssystem32driversdownld314420.exe
c:windowssystem32driversdownld323717.exe
c:windowssystem32driversdownld326120.exe
c:windowssystem32driversdownld328538.exe
c:windowssystem32driversdownld338693.exe
c:windowssystem32driversdownld338756.exe
c:windowssystem32driversdownld340128.exe
c:windowssystem32driversdownld348833.exe
c:windowssystem32driversdownld358552.exe
c:windowssystem32driversdownld360377.exe
c:windowssystem32driversdownld363731.exe
c:windowssystem32driversdownld367241.exe
c:windowssystem32driversdownld415742.exe
c:windowssystem32driversdownld451264.exe
c:windowssystem32driversdownld462854.exe
c:windowssystem32driversdownld467332.exe
c:windowssystem32driversdownld76814.exe
c:windowssystem32driversdownld79763.exe
c:windowssystem32driversdownld87485.exe
c:windowssystem32driversdownld89466.exe
c:windowssystem32driversdownld93850.exe
c:windowssystem32driversdownld95160.exe
c:windowssystem32driverswinfilse.exe
c:windowssystem32
vs2.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-04 au 2008-11-04 ))))))))))))))))))))))))))))))))))))
.

2008-11-04 09:55 . 2008-11-04 09:55 <REP> d-------- c:windowsSQL9_KB948109_ENU
2008-11-03 21:56 . 2008-11-03 21:56 <REP> d-------- c:program filesSun
2008-11-03 21:53 . 2008-07-19 16:36 51,280 --a------ c:windowsSystem32driversaswMonFlt.sys
2008-11-03 20:04 . 2008-11-03 21:04 <REP> d-------- C:ToolBar SD
2008-11-03 19:49 . 2008-11-03 19:49 <REP> d-------- c:usersAll UsersWindowsSearch
2008-11-03 19:49 . 2008-11-03 19:49 <REP> d-------- c:programdataWindowsSearch
2008-11-03 19:46 . 2008-11-03 19:46 <REP> d-------- C:fsaua.data
2008-11-03 14:25 . 2008-11-03 14:25 <REP> d-------- C:killbeagle
2008-11-03 14:16 . 2008-11-03 14:16 <REP> d----c--- c:usersAll Users{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2008-11-03 14:16 . 2008-11-03 14:16 <REP> d----c--- c:programdata{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2008-11-03 11:20 . 2008-11-03 11:30 <REP> d-------- c:userseloAppDataRoamingLiveCAD2
2008-11-03 11:18 . 2007-07-19 18:14 3,727,720 --a------ c:windowsSystem32d3dx9_35.dll
2008-11-03 11:16 . 2008-11-03 11:16 <REP> d-------- c:program filesLiveCAD
2008-11-02 18:38 . 2008-08-05 10:49 428,544 --a------ c:windowsSystem32EncDec.dll
2008-11-02 18:38 . 2008-08-05 10:49 293,376 --a------ c:windowsSystem32psisdecd.dll
2008-11-02 18:38 . 2008-08-05 10:48 217,088 --a------ c:windowsSystem32psisrndr.ax
2008-11-02 18:38 . 2008-08-05 10:48 177,664 --a------ c:windowsSystem32mpg2splt.ax
2008-11-02 18:38 . 2008-08-05 10:48 80,896 --a------ c:windowsSystem32MSNP.ax
2008-10-30 11:52 . 2008-10-31 03:00 447 --a------ c:windowsSystem32mapisvc.inf
2008-10-30 11:51 . 2008-10-30 11:51 <REP> d-------- c:program filesMicrosoft Small Business
2008-10-30 11:44 . 2008-11-04 09:55 <REP> d-------- c:program filesMicrosoft SQL Server
2008-10-29 04:35 . 2008-08-12 04:39 443,392 --a------ c:windowsSystem32win32spl.dll
2008-10-29 04:35 . 2008-09-18 05:56 147,456 --a------ c:windowsSystem32Faultrep.dll
2008-10-29 04:35 . 2008-09-18 05:56 125,952 --a------ c:windowsSystem32wersvc.dll
2008-10-24 13:15 . 2008-10-31 17:09 <REP> d-------- c:userseloAppDataRoaminggtk-2.0
2008-10-24 13:15 . 2008-10-24 13:15 <REP> d-------- c:userselo.thumbnails
2008-10-24 13:13 . 2008-10-31 17:20 <REP> d-------- c:userselo.gimp-2.6
2008-10-24 13:13 . 2008-10-24 13:13 <REP> d-------- c:userselo.gegl-0.0
2008-10-24 13:13 . 2008-10-24 13:13 <REP> d-------- c:program filesGimp-2.0
2008-10-17 18:51 . 2008-10-17 18:51 0 --ah----- c:windowsSystem32driversMsft_User_WpdMtpDr_01_00_00.Wdf
2008-10-15 09:14 . 2008-09-18 06:09 3,601,464 --a------ c:windowsSystem32
tkrnlpa.exe
2008-10-15 09:14 . 2008-09-18 06:09 3,549,240 --a------ c:windowsSystem32
toskrnl.exe
2008-10-15 09:14 . 2008-09-18 03:16 2,032,640 --a------ c:windowsSystem32win32k.sys
2008-10-15 09:14 . 2008-08-27 02:06 288,768 --a------ c:windowsSystem32driverssrv.sys
2008-10-15 09:13 . 2008-10-02 02:32 1,383,424 --a------ c:windowsSystem32mshtml.tlb
2008-10-15 09:13 . 2008-10-02 04:49 827,392 --a------ c:windowsSystem32wininet.dll
2008-10-11 16:02 . 2008-10-11 16:02 <REP> d----c--- c:windowsSystem32DRVSTORE
2008-10-11 16:02 . 2008-04-17 12:12 107,368 --a------ c:windowsSystem32GEARAspi.dll
2008-10-11 16:02 . 2008-04-17 12:12 15,464 --a------ c:windowsSystem32driversGEARAspiWDM.sys
2008-10-11 16:01 . 2008-10-11 16:02 <REP> d-------- c:usersAll Users{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-11 16:01 . 2008-10-11 16:02 <REP> d-------- c:programdata{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-11 16:01 . 2008-10-11 16:02 <REP> d-------- c:program filesiTunes
2008-10-11 16:01 . 2008-10-11 16:01 <REP> d-------- c:program filesiPod
2008-10-11 15:59 . 2008-10-11 15:59 <REP> d-------- c:program filesBonjour
2008-10-11 15:57 . 2008-10-11 15:57 <REP> d-------- c:program filesQuickTime
2008-10-11 15:45 . 2008-10-11 15:45 <REP> d-------- c:program filesApple Software Update
2008-10-09 20:33 . 2008-10-09 20:33 <REP> d-------- C:HSF
2008-10-09 20:29 . 2008-10-09 20:29 <REP> d-------- C:PLANETE PERMIS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-04 09:00 --------- d-----w c:programdataMicrosoft Help
2008-11-03 20:56 --------- d-----w c:program filesJava
2008-11-03 11:07 --------- d-----w c:program filesmp3DirectCut
2008-11-02 12:55 --------- d-----w c:userseloAppDataRoamingApple Computer
2008-10-30 19:59 --------- d-----w c:userseloAppDataRoamingWinamp
2008-10-30 10:46 --------- d-----w c:program filesMicrosoft.NET
2008-10-28 18:14 --------- d-----w c:programdataRoxio
2008-10-27 09:15 2,350 ----a-w c:userseloAppDataRoamingwklnhst.dat
2008-10-24 01:06 --------- d-----w c:program filesMicrosoft Silverlight
2008-10-16 10:21 --------- d-----w c:userseloAppDataRoamingdvdcss
2008-10-16 01:08 --------- d-----w c:program filesWindows Mail
2008-10-11 14:57 --------- d-----w c:program filesCommon FilesApple
2008-10-01 11:01 32,000 ----a-w c:windowssystem32driversusbaapl.sys
2008-08-29 08:18 87,336 ----a-w c:windowsSystem32dns-sd.exe
2008-08-29 07:53 61,440 ----a-w c:windowsSystem32dnssd.dll
2008-07-08 01:25 174 --sha-w c:program filesdesktop.ini
2008-03-27 17:24 5,873 ----a-w c:userseloAppDataRoamingmdb.bin
2008-03-13 15:38 16,384 --sha-w c:windowsServiceProfilesLocalServiceAppDataLocalMicrosoftWindowsHistoryHistory.IE5index.dat
2008-03-13 15:38 32,768 --sha-w c:windowsServiceProfilesLocalServiceAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5index.dat
2008-03-13 15:38 16,384 --sha-w c:windowsServiceProfilesLocalServiceAppDataRoamingMicrosoftWindowsCookiesindex.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Sidebar"="c:program filesWindows Sidebarsidebar.exe" [2008-01-19 1233920]
"MsnMsgr"="c:program filesWindows LiveMessengerMsnMsgr.Exe" [2007-10-18 5724184]
"ehTray.exe"="c:windowsehomeehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:program filesWindows Media PlayerWMPNSCFG.exe" [2008-01-19 202240]
"EPSON Stylus DX8400 Series"="c:windowssystem32spoolDRIVERSW32X863E_FATICEE.EXE" [2007-04-12 182272]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 c:windowsSystem32oobefldr.dll]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"SynTPEnh"="c:program filesSynapticsSynTPSynTPEnh.exe" [2007-03-01 857648]
"StartCCC"="c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe" [2006-11-10 90112]
"RoxWatchTray"="c:program filesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe" [2007-01-11 232184]
"Google Desktop Search"="c:program filesGoogleGoogle Desktop SearchGoogleDesktop.exe" [2008-09-22 29744]
"Picasa Media Detector"="c:program filesPicasa2PicasaMediaDetector.exe" [2007-02-21 366400]
"toolbar_eula_launcher"="c:program filesPackard BellGOOGLE_EULAEULALauncher.exe" [2007-02-20 28672]
"SunJavaUpdateSched"="c:program filesJavajre1.6.0_07injusched.exe" [2008-06-10 144784]
"HP Software Update"="c:program filesHPHP Software UpdateHPWuSchd2.exe" [2006-12-10 49152]
"Adobe Reader Speed Launcher"="c:program filesAdobeReader 8.0ReaderReader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:program filesCommon FilesRealUpdate_OB ealsched.exe" [2008-05-24 185896]
"WinampAgent"="c:program filesWinampwinampa.exe" [2008-04-01 36352]
"QuickTime Task"="c:program filesQuickTimeQTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:program filesiTunesiTunesHelper.exe" [2008-10-01 289576]
"avast!"="c:progra~1ALWILS~1Avast4ashDisp.exe" [2008-07-19 78008]
"RtHDVCpl"="RtHDVCpl.exe" [2007-08-09 c:windowsRtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-08-03 c:windowsSkyTel.exe]

c:userseloAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
OneNote 2007 - Capture d',cran et lancement.lnk - c:program filesMicrosoft OfficeOffice12ONENOTEM.EXE [2007-12-07 101440]

c:programdataMicrosoftWindowsStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk - c:program filesHPDigital Imaginginhpqtra08.exe [2007-01-02 210520]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
"AppInit_DLLs"=c:progra~1GoogleGOOGLE~3GOEC62~1.DLL

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvcS-1-5-21-1877642772-2596481533-3124303372-1002]
"EnableNotificationsRef"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicyFirewallRules]
"{C77F04BA-80FE-4B0E-A3D9-659CCA439547}"= UDP:c:program filesMicrosoft OfficeOffice12ONENOTE.EXE:Microsoft Office OneNote
"{B3A6B325-BFCA-414D-90DC-A5F8DB6635E0}"= TCP:c:program filesMicrosoft OfficeOffice12ONENOTE.EXE:Microsoft Office OneNote
"{8D6E1F90-BD96-4E01-A40E-228D077BC1FC}"= c:program filesWindows LiveMessengerlivecall.exe:Windows Live Messenger (Phone)
"{0EBAC7A2-F7A2-49FC-9383-E6927FBB7894}"= UDP:c:program fileseMuleemule.exe:eMule
"{7CFEA12F-E6C1-4385-A4F1-B2E5A345DF0B}"= TCP:c:program fileseMuleemule.exe:eMule
"{D5409DB1-310D-477D-B247-BCFD867D3E7F}"= UDP:65057:emule
"{DDEB9C4D-837B-44C5-B772-AD8E17EC1CBB}"= UDP:c:program filesDNAtdna.exe:DNA
"{E9F1BF4F-08D2-4E39-B407-7C7F50CDECC4}"= TCP:c:program filesDNAtdna.exe:DNA
"{2BECD86E-D2B0-43EE-97E2-286600363B50}"= UDP:c:program filesBitTorrentittorrent.exe:BitTorrent
"{7BE6F415-DC46-4F27-AAEA-60215DBFA559}"= TCP:c:program filesBitTorrentittorrent.exe:BitTorrent
"TCP Query User{DD50C880-C9FA-483D-89E9-21659DA9BBB4}c:\program files\echanblard\emule.exe"= UDP:c:program filesechanblardemule.exe:eChanblard
"UDP Query User{2C23C2B7-A7E5-4526-88A4-F73E64AA75C0}c:\program files\echanblard\emule.exe"= TCP:c:program filesechanblardemule.exe:eChanblard
"{244AB2E7-A9BB-4B00-8D1E-CF3A5420F10A}"= UDP:c:program filesLimeWireLimeWire.exe:LimeWire
"{88014DDD-6C35-4F4A-A371-2E5CA72FA016}"= TCP:c:program filesLimeWireLimeWire.exe:LimeWire
"{DE731B00-A362-4C82-A9E9-D54A1E8BCE05}"= UDP:25252:SHAREAZA
"{DEA0F725-DFEA-4E9E-B944-94FC3D033EF3}"= UDP:c:windowsSystem32lxbscoms.exe:Lexmark Communications System
"{55D1EE6E-27FA-406B-B48F-6FEC5EA1FD79}"= TCP:c:windowsSystem32lxbscoms.exe:Lexmark Communications System
"TCP Query User{554D19D9-70A1-4CE8-B6D0-2DA1A69A076E}c:\program files\real\realplayer\realplay.exe"= UDP:c:program files eal ealplayer ealplay.exe:RealPlayer
"UDP Query User{A633E758-12C4-495F-9057-CEA140F90434}c:\program files\real\realplayer\realplay.exe"= TCP:c:program files eal ealplayer ealplay.exe:RealPlayer
"{D3C11B53-B8E9-45CE-8A30-2031DAA2F527}"= UDP:c:program filesBonjourmDNSResponder.exe:Bonjour
"{07304524-ACAA-42A5-B963-5C5A86274ED3}"= TCP:c:program filesBonjourmDNSResponder.exe:Bonjour
"{ECA631D2-8D5A-4D45-8FC8-7132D6ABFD12}"= UDP:c:program filesiTunesiTunes.exe:iTunes
"{BF8B3FA2-14F9-4090-B525-232FA70F50CA}"= TCP:c:program filesiTunesiTunes.exe:iTunes
"{9FFD58F6-745C-402C-A0FC-86E26D146A3E}"= TCP:6004|c:program filesMicrosoft OfficeOffice12outlook.exe:Microsoft Office Outlook
"TCP Query User{B3C08694-FBFC-4177-8273-75C16CBE7ACD}c:\users\elo\appdata\local\emule\emule.exe"= UDP:c:userseloappdatalocalemuleemule.exe:emule.exe
"UDP Query User{57DEE7D1-B94E-4798-9570-D796645F8EC5}c:\users\elo\appdata\local\emule\emule.exe"= TCP:c:userseloappdatalocalemuleemule.exe:emule.exe

[HKLM~servicessharedaccessparametersfirewallpolicyStandardProfileAuthorizedApplicationsList]
"c:\Program Files\BitTorrent\bittorrent.exe"= c:program filesBitTorrentittorrent.exe:*:Enabled:BitTorrent

R0 AtiPcie;ATI PCI Express (3GIO) Filter;c:windowssystem32DRIVERSAtiPcie.sys [2006-10-30 8192]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;c:windowssystem32DRIVERSaswFsBlk.sys [2008-07-19 20560]
R2 aswMonFlt;aswMonFlt;c:windowssystem32DRIVERSaswMonFlt.sys [2008-07-19 51280]
R2 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;c:program filesMicrosoft Small BusinessBusiness Contact ManagerBcmSqlStartupSvc.exe [2008-01-16 30312]
R3 atikmdag;atikmdag;c:windowssystem32DRIVERSatikmdag.sys [2007-05-25 2609152]
S3 F-Secure BlackLight Sensor;F-Secure BlackLight Sensor;c:userseloAppDataLocalTempF-SecureBlackLightfsblsrv.exe [ ]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:program filesGoogleGoogle Desktop SearchGoogleDesktop.exe [2008-09-22 29744]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe [2008-02-26 29183504]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-11-04 c:windowsTasksExtension de garantie.job
- c:program filesPackard BellSetupmyPCPBCarNot.exe [2006-11-21 17:38]

2008-11-04 c:windowsTasksRecovery DVD Creator.job
- c:program filesPackard BellSetupMyPcMCDCheck.exe [2006-11-21 17:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-SmpcSys - c:program filesPackard BellSetUpMyPCSmpSys.exe
HKCU-Run-wgqakio - c:userseloappdatalocalwgqakio.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:userseloAppDataRoamingMozillaFirefoxProfiles h83tmsy.default
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ustart.org
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ustart.org
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 10:54:49
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-04 10:56:02
ComboFix-quarantined-files.txt 2008-11-04 09:55:58

Avant-CF: 122 716 766 208 octets libres
Après-CF: 122,741,895,168 octets libres

277 --- E O F --- 2008-11-04 09:00:48

[elo123]

cool c'est bone pou Pour HiJackThis, j ai reussi a supprimer les lignes:)

Ensuite pour http://www.virustotal.com/fr/ je ne trouve pas le fichier wgqakio.exe

[r@in | b0w]

Re.

Ensuite pour http://www.virustotal.com/fr/ je ne trouve pas le fichier wgqakio.exe

Normal, il a été éradiqué par ComboFix, tu ne suis pas l'ordre mais ce n'est pas important, je prévoyais un Vundo et c'était le cas.

Fais Toolbar S&D qu'on repère les cracks.

[elo123]

bonjour,

merci merci merci .... encore!
je viens de mettre en route Toolbar S&D et il fait la recherche des fichiers ensuite il se bloque sur recherche d autres infections. Il bug? y a t il un autre logiciel qui fait la meme chose?!
Comment savoir que je n ai vraiment plus de virus? je dois refaire hijickthis?
Ensuite j ai une fenetre de microsft windows qui arrete pas de s ouvrir elle dit: Utilitaire (QGREP) de recherche de chaines de caracteres a cesse de fonctionne!
C'est grave?

[r@in | b0w]

Bonjour.

Pour le message d'erreur Windows, aucune idée.

Pour Toolbar S&D, on zappe. Tu passes à EliBagla, regardes le message correspondant plus haut.

[gillouvan]

Bonjour,
J'ai essayé d'enlever avec vos instructions wintem mais je ne sais pas ouvrir en mode d'echec et les dossiers Hackjic, ... ne veulent pas s'ouvrir.

Peux-t-on me dire ce que je doit faire, merci

[r@in | b0w]

Bonjour.

Tu commences par créer ton propre sujet

Tu y ajoutes le rapport HiJackThis (à renommer avant de le lancer) et on attaque la désinfection.

Ps: tu supprimes bien entendu tous tes cracks.