Fais "save" dans gmer, en bas à droite, et ça te pond un log, poste le contenu de ce log.

^^ je ne m'etait pas apercu qu'il me marquer "GMER hasn't found systems modification" ^^ a force de tros abuser sur les ok j'avais pas vus donc en conclusion y'a rien dans ces rapport comment vais fair moua

On va faire sans, mais c'est coton.

Tu vas refaire un autre script Cfscript.txt et faire comme plus haut, le contenu du script est juste différent. Voici le contenu à utiliser. Poste le rapport qui sera généré par combofix.

Folder::
C:\WINDOWS\exefld

File::
C:\WINDOWS\SYSTEM32\ban_list.txt

RootKit::
C:\WINDOWS\SYSTEM32\wintems.exe
C:\Documents and Settings\Yoann\application data\hidires\hidr.exe
C:\WINDOWS\SYSTEM32\M_HOOK.SYS
C:\Documents and Settings\Yoann\application data\hidires\m_hook.sys
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys

bon alors combo fix ne c'est pas redemarer au redemarge de mon pc

j'ai donc fouiner dans le C: afin de trouver un un .txt vers cette heure a peu pres ...


et j'ai trouver a avenger s'aprochant de combofix voici ce qu'il dit :


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vkquwexg

*******************

Script file located at: \??\C:\ComboFix\ComboDel.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Yoann\application data\hidires\hidr.exe for move operation
File move operation C:\Documents and Settings\Yoann\application data\hidires\hidr.exe|C:\QooBox\Quarantine\C\Documents and Settings\Yoann\application data\hidires\hidr.exe.vir failed!

Could not process line:
C:\Documents and Settings\Yoann\application data\hidires\hidr.exe|C:\QooBox\Quarantine\C\Documents and Settings\Yoann\application data\hidires\hidr.exe.vir
Status: 0xc000003a



Could not open file C:\Documents and Settings\Yoann\application data\hidires\m_hook.sys for move operation
File move operation C:\Documents and Settings\Yoann\application data\hidires\m_hook.sys|C:\QooBox\Quarantine\C\Documents and Settings\Yoann\application data\hidires\m_hook.sys.vir failed!

Could not process line:
C:\Documents and Settings\Yoann\application data\hidires\m_hook.sys|C:\QooBox\Quarantine\C\Documents and Settings\Yoann\application data\hidires\m_hook.sys.vir
Status: 0xc000003a



File C:\WINDOWS\system32\drivers\srosa.sys not found!
File move operation C:\WINDOWS\system32\drivers\srosa.sys|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir failed!

Could not process line:
C:\WINDOWS\system32\drivers\srosa.sys|C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
File move operation C:\WINDOWS\system32\hldrrr.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\hldrrr.exe.vir failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe|C:\QooBox\Quarantine\C\WINDOWS\system32\hldrrr.exe.vir
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\M_HOOK.SYS not found!
File move operation C:\WINDOWS\SYSTEM32\M_HOOK.SYS|C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\M_HOOK.SYS.vir failed!

Could not process line:
C:\WINDOWS\SYSTEM32\M_HOOK.SYS|C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\M_HOOK.SYS.vir
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\wintems.exe not found!
File move operation C:\WINDOWS\SYSTEM32\wintems.exe|C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\wintems.exe.vir failed!

Could not process line:
C:\WINDOWS\SYSTEM32\wintems.exe|C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\wintems.exe.vir
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Arf, c'est le bazar. Qu'est-ce que ça donne pour Antivir ?

"3 files was been succefully updated" ^^ ahhh ca fait plésir il est enfin a jour et pour nos amis ???

Ho, mais ça expliquerait pas mal de chose si ça remarche. Mon premier script aurait suffi ? Ca m'étonne tout de même, ou alors Kproc Check (dans diaghelp) a déraillé.
Hum, à vérifier quand même.

Là tout baigne côté antivirus ? Profites-en pour faire un scan complet avec Antivir (vérifie que c'est bien à jour avec les dates dans la panneau de contrôle général de l'interface)

le probleme pour le scan c'est que ca serat pas avant demin car moi demin j'ai cours est mes sadique de prof s'en fiche complet ke g un virus donc peut po fair nuit blanche par contre j'ai verifier la version que j'ai ets c'est la n° 7.00.01.109 et al date c 2007-12-17

Ne t'en fais pas.
Tu feras ton scan demain, tranquillement, quand tu auras le temps, car cela prend un bon moment, selon la taille du disque dur.

Logiquement tu ne devrais plus être infecté par cette saleté, la mise à jour est effective, et j'ai viré d'autres choses. On en reparle demain si tu veux, après ton scan complet (tu le laisseras mettre ne quarantaine ce qu'il trouve).

De mon côté je vais creuser sur le cas, il y a des choses qui m'ont intrigué ici.
@ bientôt

salut

tu es infecte par Trojan W32.Beagle.DZ

1) telecharge le fix a cette adresse bas de page http://www.commentcamarche.net/faq/suje ... e-mm-bagle

2)telecharge ce tres bon antispyware http://www.infos-du-net.com/telecharger ... -6797.html

3)fixe ces pages O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\System32\drivers\hidr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\System32\wintems.exe

4) TELECHARGE CCLEANER http://www.01net.com/telecharger/window ... 32599.html

SURTOUT DESACTIVE LA RESTAURATION SYSTEME ET ANALYSE EN MODE SANS ECHEC AVANT TOUTE CHOSE ET FAIS CE QUE JE TE DIT EN MODE SANS ECHEC
ET FAIS CONFIANCE J AI SOUVENT DEPANER DES AMIS

AH J OUBLIAIS pour spyware terminator fais sa mise a jour avant scanne

Bonjour, après 3 pages de nettoyage, le contenu de ce post... comment dire ?
Tu n'as peut-être vu que la dernière page ? Manifestement, tu n'as pas tout lu.

Ce que tu proposes a déjà été fait depuis un moment, avec d'autres outils.
Spyware terminator, si on ne prend pas le bon setup, est assorti d'une toolbar nuisible (crawler) et le logiciel en lui-même reste moyen, méfie toi (amis aussi).
Les lignes que tu proposes de retirer étaient déjà retirées depuis 2 logs e n'apparaissaient pas dans les derniers, impossible de fixer ce qui n'apparaît plus, comment les éliminer ?
CCleaner ne sert à rien dans le cas présent, et tout ça en majuscules ? Balors ?

c'est bon j'ai effectuer mon scanner aucun virus trouver par antivir et la mise a jour continue a marcher


voici le rapport du scan:

AntiVir PersonalEdition Classic
Report file date: 2007-12-18 17:46

Scanning for 974683 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: SYSTEM
Computer name: YOANN

Version information:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 21:34:47
ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 2007-12-14 21:34:47
ANTIVIR3.VDF : 7.0.1.109 32768 Bytes 2007-12-17 21:34:47
AVEWIN32.DLL : 7.6.0.45 3084800 Bytes 2007-12-13 16:08:04
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 2007-08-24 09:53:16
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2007-12-18 17:46

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '0' Module(s) have been scanned
Scan process 'MpfAgent.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'WLANUTL.EXE' - '1' Module(s) have been scanned
Scan process 'BTTray.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'LVCOMSX.EXE' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'MpfTray.exe' - '1' Module(s) have been scanned
Scan process 'EM_EXEC.EXE' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'wanmpsvc.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'incdsrv.exe' - '1' Module(s) have been scanned
Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned
Scan process 'btwdins.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'LVPrcSrv.exe' - '1' Module(s) have been scanned
Scan process 'LEXPPS.EXE' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '37' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!


End of the scan: 2007-12-18 18:58
Used time: 1:11:30 min

The scan has been done completely.

4476 Scanning directories
196445 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
196445 Files not concerned
6288 Archives were scanned
2 Warnings
0 Notes

Ok, côté Bagle, c'est réglé.
Bien pour le reste, ma foi.

Par contre il y a plusieurs choses anormales dans le déroulement de ce nettoyage.
Utilises-tu un programme nommé "The Avenger" ? Si oui, il faut que tu saches qu'il peut (facilement) te planter ton pc et est du genre dangereux.
A moins que tu aies posté ton problème sur plusieurs forums en même temps et mélangé les procédures ?

Je dois encore vérifier 2-3 choses, car Bagle shoote la clé permettant de démarrer en mode sans échec, et elibagla ne l'a pas restaurée, donc soit elle est intacte, soit je te la refais faire (c'est rapide), mais il faut s'en assurer. Dans l'intervalle, n'essaie pas d'aller en mode sans échec : si la clé était endommagée, ça tournerait en faisant des écrans bleus en boucle !
On va vérifier ça juste après.

Quand tout ça sera réglé, tu pourras bien sûr nettoyer (virer) les outils spéciaux utilisés, d'ici peu. Dans l'intervalle, garde-les sous le coude.

Tu es sous XP sans service pack ?

ben non justement je c'est pas comment est venu ce avenger ^^bouah v le virer mais au demarage g un ecran comande bleu avec un message marquer dessus :S


pour la clé je savais meme pas que c'etait ca qui me faisait marcher le mode sans echec :S

et euh oui j'utilise Xp

Ok pour XP, mais donc sans service pack (tu n'as pas mis le SP2) ?

Quel est cet écran au démarrage ? Qu'affiche-t-il ?

ben l'ecran .cmd la la ptite fenetre mais jc pus ce k'il y a d'ecrit :S

Bon, on va vérifier ça après.

D'abord, la clé de mode sans échec.


Copie colle le contenu ci-dessous dans un fichier texte.
Sauvegarde et renomme le avec l'extension .bat, par exemple extract.bat
L'icône doit changer.

Code: Tout sélectionner

@echo off
echo.
echo -=Extractions de la BdR=-
echo.

set cle=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
echo %cle%
regedit /E c:\reggM1.txt "%cle%"
echo ------------->>c:\reggM1.txt

copy c:\reggM?.txt c:\regfile.txt>nul
del c:\reggM?.txt
notepad c:\regfile.txt
del c:\regfile.txt

Ensuite double clique dessus pour le lancer, une fenêtre du bloc notes va s'ouvrir, poste le contenu dans ta prochaine réponse (ça me dira si la clé est bien là ou est endommagée).

@ toute

ben non il a toujour la tete d'un texte et quand j'appuie ca fait rien -_-'

Ok, questions d'extensions, pour afficher les extensions (et pouvoir renommer) procède comme suit :
http://www.libellules.ch/extension.php

mais comment la fait ca avec quel navigateur quelle version j'ai pas ca moua :'(