[LOGICIEL] [Résolu] Virus coriace

[campif]

Bonjour à tous !!!

Bon voilà j'ai un soucis avec mon PC. Alors que j'étais sur internet j'ai eu un plantage windows (écran bleu).

Je redémarre mon ordi, windows se charge, je rentre dans ma session et au bout de 5s j'ai à nouveau un écran bleu.

Quand je redémarre à nouveau mon ordi sans plantage (ce qui arrive une fois sur deux)et que j'essaie de lancer des applications de scan, elles ne se lancent pas et affichent un message "....n'est pas une application win32 valide".

De plus je me suis aperçu que mon antivirus était HS.

Aucune installation désinstallation ne se fait sans plantage sauf si je suis en mode sans échec.

J'ai réussi à trouver une personne qui semble avoir le même pb que moi et j'ai appliqué la procédure sans succès.

J'ai windows vista SP1

J'aurais besoin de conseils

Si qq peut m'aider

Merci

[2C.LiryC]

Bonsoir,

Poste nous ici un rapport HijackThis si le PC le permet.

Quand tu dit sans succès ? Le PC plante avant la fin de la creation du rapport ? ou bien cela a été effectué mais sans succès ?

[snooky]

En bas de cette page , clique sur Descargar Elibagla pour télécharger l'outil .

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Lance le en mode sans échec sur le pc vérolé.

[campif]

Merci de m'aider.

Pour 2C.LiryC

Je ne peux pas passer HijackThis car il me dit "....n'est pas une application win32 valide."

Pour snooky

Donc j'ai reussi à passer Elibagla et il m'a trouvé plusieur bagle :

Voici le log :

Fri Nov 07 16:54:50 2008

EliBagle v11.93 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Fri Nov 07 16:55:00 2008

EliBagle v11.93 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\QooBox\Quarantine\C\Windows\System32\MDELK.EXE.VIR --> Eliminado Bagle

C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\1429031.EXE.VIR --> Eliminado Bagle

C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\1432666.EXE.VIR --> Eliminado Bagle

Nº Total de Directorios: 13515

Nº Total de Ficheros: 94568

Nº de Ficheros Analizados: 12664

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

J'ai noté une amelioration mon processeur n'est plus utilisé à 50%.

Pour l'instant je n'ai plus d'écran bleu mais quand je vais dans msconfig je vois des processus qui se lancent "Bisoft" avec un fabricant inconnu et "german.exe" fabricant aussi inconnu et en regardant de plus près j'ai vu que c'était des fichier que j'avais deja suprrimé avec clean by fruit je crois, donc il se situe dans system32 c'est winfilse.exe et wintems.exe dois-je les supprimer de nouveau ?

[snooky]

Oui , décoche tout dans l'onglet démarrage de msconfig.

Pour Hijackthis , renomme le en campif.exe pour pouvoir le démarrer .( et poster un rapport )

Lance ComboFix et poste le rapport créé :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

N'installe rien d'autre , désinstalle ton antivirus actuel , ains que Spybot et / ou autre protection .

[campif]

Voici le log d'hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:40:09, on 07/11/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\ASUS\Six Engine\SixEngine.exe

E:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)

--

End of file - 2689 bytes

Voici le log de Combofix :

ComboFix 08-11-06.01 - Tidus 2008-11-07 18:46:04.2 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1436 [GMT 1:00]

Lancé depuis: E:\ComboFix.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\InfoSat.txt

c:\windows\system32\drivers\downld

c:\windows\system32\drivers\winfilse.exe

E:\InfoSat.txt

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-07 au 2008-11-07 ))))))))))))))))))))))))))))))))))))

.

2008-11-07 18:45 . 2008-11-07 18:45 <REP> d-------- C:\32788R22FWJFW

2008-11-06 20:01 . 2008-11-06 20:01 58 --a------ C:\SCRIPT.CLN

2008-11-06 20:01 . 2008-11-06 20:01 17 --a------ C:\MAINMSG.DAT

2008-11-06 20:01 . 2008-11-06 20:01 12 --a------ C:\DISKFREE.DAT

2008-11-06 20:01 . 2008-11-06 20:01 8 --a------ c:\windows\$tmp$.tm$

2008-11-06 20:01 . 2008-11-06 20:01 8 --a------ C:\$tmp$.tm$

2008-11-06 20:01 . 2008-11-06 20:01 1 --a------ C:\PROGRES.DAT

2008-11-06 18:12 . 2008-11-07 18:39 5,226 --a------ c:\windows\System32\PerfStringBackup.TMP

2008-11-06 18:10 . 2008-11-06 18:10 16,623,506 --a------ C:\upload_moi_PC-de-Tidus.tar.gz

2008-11-05 18:47 . 2008-11-05 18:47 <REP> d-------- c:\users\Tidus\AppData\Roaming\Malwarebytes

2008-11-05 18:28 . 2008-11-05 18:28 <REP> d-------- c:\users\All Users\Malwarebytes

2008-11-05 18:28 . 2008-11-05 18:28 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-05 18:28 . 2008-11-05 18:28 <REP> d-------- c:\progra~2\Malwarebytes

2008-11-05 18:28 . 2008-10-22 16:10 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys

2008-11-05 18:28 . 2008-10-22 16:10 15,504 --a------ c:\windows\System32\drivers\mbam.sys

2008-11-05 17:23 . 2008-11-05 17:23 <REP> d-------- c:\windows\System32\config\systemprofile\DoctorWeb

2008-11-05 17:00 . 2008-11-06 18:46 <REP> d-------- c:\program files\Navilog1

2008-11-05 15:38 . 2008-11-06 18:08 <REP> d-------- C:\327882R2FWJFW

2008-11-05 10:42 . 2008-11-06 20:02 7,168 --a------ c:\windows\System32\drivers\srosa2.sys

2008-11-04 21:18 . 2008-11-04 21:56 <REP> d-------- c:\program files\Phun

2008-11-04 19:56 . 2008-11-04 20:15 <REP> d-------- c:\windows\System32\inf32

2008-11-04 18:59 . 2008-11-04 18:59 <REP> d-------- c:\users\Tidus\AppData\Roaming\atitray

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-05 17:49 --------- d-----w c:\program files\TweakVI

2008-11-05 13:59 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-05 12:11 --------- d-----w c:\program files\Analog Devices

2008-10-04 08:22 348,160 ----a-w c:\windows\System32\msvcr71.dll

2008-10-02 03:49 827,392 ----a-w c:\windows\System32\wininet.dll

2008-09-24 03:09 3,976,192 ----a-w c:\windows\system32\drivers\atikmdag.sys

2008-09-24 02:20 425,984 ----a-w c:\windows\System32\ATIDEMGX.dll

2008-09-24 02:19 159,744 ----a-w c:\windows\System32\atitmmxx.dll

2008-09-24 02:18 43,520 ----a-w c:\windows\System32\ati2edxx.dll

2008-09-24 02:18 327,680 ----a-w c:\windows\System32\atipdlxx.dll

2008-09-24 02:18 270,336 ----a-w c:\windows\System32\Ati2evxx.dll

2008-09-24 02:18 262,144 ----a-w c:\windows\System32\Oemdspif.dll

2008-09-24 02:16 704,512 ----a-w c:\windows\System32\Ati2evxx.exe

2008-09-24 02:08 2,201,088 ----a-w c:\windows\System32\atidxx32.dll

2008-09-24 02:02 3,922,432 ----a-w c:\windows\System32\atiumdag.dll

2008-09-24 01:46 10,428,416 ----a-w c:\windows\System32\atioglxx.dll

2008-09-24 01:41 4,690,432 ----a-w c:\windows\System32\atiumdva.dll

2008-09-24 01:27 50,688 ----a-w c:\windows\System32\amdpcom32.dll

2008-09-24 01:27 50,176 ----a-w c:\windows\System32\atiadlxx.dll

2008-09-24 01:10 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll

2008-09-18 05:09 3,601,464 ----a-w c:\windows\System32\ntkrnlpa.exe

2008-09-18 05:09 3,549,240 ----a-w c:\windows\System32\ntoskrnl.exe

2008-09-18 04:56 147,456 ----a-w c:\windows\System32\Faultrep.dll

2008-09-18 04:56 125,952 ----a-w c:\windows\System32\wersvc.dll

2008-09-18 02:16 2,032,640 ----a-w c:\windows\System32\win32k.sys

2008-09-03 03:59 468,992 ----a-w c:\windows\System32\newdev.dll

2008-09-03 03:58 74,752 ----a-w c:\windows\System32\newdev.exe

2008-08-12 03:39 443,392 ----a-w c:\windows\System32\win32spl.dll

2008-07-14 17:32 22,328 ----a-w c:\users\Tidus\AppData\Roaming\PnkBstrK.sys

2008-01-21 02:43 174 --sha-w c:\program files\desktop.ini

2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe

.

((((((((((((((((((((((((((((( snapshot@2008-11-05_15.23.42.19 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-11-07 17:35:00 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2008-11-05 13:16:57 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-11-07 17:37:43 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-11-07 17:37:43 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1

- 2008-11-05 13:17:02 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-11-07 17:35:40 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-11-07 17:35:40 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1

- 2008-07-10 19:28:42 48,600 ----a-w c:\windows\System32\config\systemprofile\AppData\Local\GDIPFONTCACHEV1.DAT

+ 2008-11-05 19:05:50 58,456 ----a-w c:\windows\System32\config\systemprofile\AppData\Local\GDIPFONTCACHEV1.DAT

- 2008-11-05 14:22:59 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-11-07 15:53:36 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-11-07 15:53:36 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008110720081108\index.dat

- 2008-11-05 11:49:00 78,924 ----a-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat

+ 2008-11-06 17:46:15 78,924 ----a-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat

+ 2008-11-07 15:53:36 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2008-11-05 14:22:59 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2008-11-07 15:53:36 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2006-11-02 09:45:39 31,744 ----a-w c:\windows\System32\swsc.exe

- 2008-11-05 12:43:38 6,330 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4149536807-3301982981-258087951-1000_UserData.bin

+ 2008-11-07 17:36:36 6,870 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4149536807-3301982981-258087951-1000_UserData.bin

- 2008-11-05 12:43:38 73,684 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2008-11-07 17:36:36 74,428 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

- 2008-11-05 12:43:37 34,510 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2008-11-07 17:36:36 35,084 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^Users^Tidus^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 - Capture d'écran et lancement.lnk]

path=c:\users\Tidus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 - Capture d'écran et lancement.lnk

backup=c:\windows\pss\OneNote 2007 - Capture d'écran et lancement.lnk.Startup

backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]

--a------ 2008-07-22 11:34 2772992 c:\program files\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]

--a------ 2008-01-21 03:25 125952 c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]

--a------ 2007-06-28 22:01 2512128 c:\windows\System32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundTray]

--a------ 2008-03-26 13:04 143360 c:\program files\Analog Devices\SoundMAX\SoundTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a------ 2008-08-01 14:23 61440 c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter]

--a------ 2008-01-21 03:23 2153472 c:\windows\System32\oobefldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4149536807-3301982981-258087951-1000]

"EnableNotificationsRef"=dword:00000003

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{8A9BD0B8-4334-4AA9-B664-C2C32B5A7CAF}"= UDP:c:\program files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32

"{445F5255-B309-4F58-B5A8-DA55B8984A5E}"= TCP:c:\program files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:Crysis_32

"{4DFA8371-58FD-4908-AEA7-C7EBDDB1104F}"= UDP:c:\program files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32

"{5545B1DD-88F5-4D9D-B702-909412C684E6}"= TCP:c:\program files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:CrysisDedicatedServer_32

"{114B01EA-2F1A-4E53-9556-6664E5692FAA}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA

"{1E497E88-2983-4171-BECD-4762F07DB5BF}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA

"{D889DC29-A66A-4641-97E5-FA4531605F34}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB

"{7725CA7A-7B1B-44DB-9ECB-3D9203D5FD47}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB

"TCP Query User{C0E89B4C-080B-4D99-BFBD-37CD49B6AF0E}c:\\program files\\electronic arts\\eadm\\core.exe"= UDP:c:\program files\electronic arts\eadm\core.exe:EA Download Manager

"UDP Query User{BA92CA87-2DF9-4505-B0F3-2AC311C8BB9D}c:\\program files\\electronic arts\\eadm\\core.exe"= TCP:c:\program files\electronic arts\eadm\core.exe:EA Download Manager

"{4B51584C-5136-4A39-AC4E-707DC7D0F889}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{1BD7089A-1D85-4C5B-891C-C0A2DB078679}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"TCP Query User{8CFFC6E0-5F1B-408E-8907-FDF0690BCC3F}c:\\program files\\gamespy\\comrade\\comrade.exe"= UDP:c:\program files\gamespy\comrade\comrade.exe:Comrade

"UDP Query User{D6A8D7AD-EBEE-4104-8541-5DCAF48290BE}c:\\program files\\gamespy\\comrade\\comrade.exe"= TCP:c:\program files\gamespy\comrade\comrade.exe:Comrade

"{AE674C6C-B450-462F-B3F7-71451628007A}"= UDP:c:\program files\Microsoft Games\Age of Empires III\age3y.exe:Age of Empires III - The Asian Dynasties

"{403C1A3A-9F28-4AFF-B79F-1421F6DFC047}"= TCP:c:\program files\Microsoft Games\Age of Empires III\age3y.exe:Age of Empires III - The Asian Dynasties

"{EA0554EA-158E-4321-8B04-8684A72DE998}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{54F307D7-F4BC-4360-89D4-CB3D884BAB26}"= UDP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9

"{E41AD978-4643-43A8-97F9-68DCCEBB6835}"= TCP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9

"{F411E1A9-ECC4-4A07-9E55-D3BAF01442BB}"= UDP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10

"{D610F8DB-D72C-4FA6-A2EE-46FA8B73CAD0}"= TCP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10

"{D564B34D-E799-41E8-AD13-B67BBC5933AD}"= UDP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

"{6E619CFF-8F86-4BF8-92D7-BAA3DD690B83}"= TCP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

"TCP Query User{0969EB21-5080-4959-83E3-619E8BA498DF}c:\\program files\\atari\\test drive unlimited\\testdriveunlimited.exe"= UDP:c:\program files\atari\test drive unlimited\testdriveunlimited.exe:Test Drive Unlimited

"UDP Query User{E89EB482-DC3E-4559-B855-A391B5A5F5A6}c:\\program files\\atari\\test drive unlimited\\testdriveunlimited.exe"= TCP:c:\program files\atari\test drive unlimited\testdriveunlimited.exe:Test Drive Unlimited

"TCP Query User{17760508-C565-46C4-A219-1660F48774BE}c:\\program files\\electronic arts\\crytek\\crysis wars\\bin32\\crysis.exe"= UDP:c:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe:Crysis

"UDP Query User{9AA4BC86-3B5C-4779-919A-5C8BCC4657C7}c:\\program files\\electronic arts\\crytek\\crysis wars\\bin32\\crysis.exe"= TCP:c:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe:Crysis

"{9365FBCA-5A04-47D3-B9F5-1ACC2D83AECE}"= UDP:c:\program files\Microsoft Games\Age of Empires III\age3x.exe:Age of Empires III - The WarChiefs

"{AFF94B4C-96F3-49A2-9FA3-D777E1398CD0}"= TCP:c:\program files\Microsoft Games\Age of Empires III\age3x.exe:Age of Empires III - The WarChiefs

"TCP Query User{598FAF4D-46CA-4317-94F0-0EFA144F4212}c:\\program files\\defcon\\defcon.exe"= UDP:c:\program files\defcon\defcon.exe:Defcon

"UDP Query User{EB50AC08-D51D-4605-A43A-40A52460F7AC}c:\\program files\\defcon\\defcon.exe"= TCP:c:\program files\defcon\defcon.exe:Defcon

"{DA8A11BB-BEE5-4A7F-B1D4-66500494924F}"= UDP:c:\program files\Futuremark\3DMark Vantage\3DMarkVantage.exe:3DMark Vantage

"{6F6749E7-6BA9-486F-867A-6A9F6E9D146C}"= TCP:c:\program files\Futuremark\3DMark Vantage\3DMarkVantage.exe:3DMark Vantage

"{F14DC373-D13E-40FF-A0FD-3E6D6BB340C5}"= UDP:c:\program files\Electronic Arts\Crytek\Crysis\Bin32\Editor.exe:Editor

"{98E6708D-34BC-4572-BF4D-F1C4BB7BF0B8}"= TCP:c:\program files\Electronic Arts\Crytek\Crysis\Bin32\Editor.exe:Editor

"{18E6C946-B0FE-4D2B-9837-75463208F4EA}"= UDP:c:\program files\Sierra Entertainment\Démo World in Conflict\wic.exe:Démo World in Conflict

"{673E2CF2-2761-4029-9238-B52AF312530F}"= TCP:c:\program files\Sierra Entertainment\Démo World in Conflict\wic.exe:Démo World in Conflict

R0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2008-05-19 150568]

R3 atikmdag;atikmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2008-09-24 3976192]

R3 netr28u;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr28u.sys [2007-08-15 552448]

R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk60x86.sys [2007-12-06 298496]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2008-10-22 38496]

S4 AEADIFilters;Andrea ADI Filters Service;c:\windows\system32\AEADISRV.EXE [2007-10-19 86016]

S4 ErrDev;Microsoft Hardware Error Device Driver;c:\windows\system32\drivers\errdev.sys [2008-01-21 6656]

S4 MegaSR;MegaSR;c:\windows\system32\drivers\megasr.sys [2008-01-21 386616]

S4 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-09-08 98488]

*Newly Created Service* - PROCEXP90

.

- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-drvsyskit - c:\windows\system32\drivers\winfilse.exe

MSConfigStartUp-german - c:\windows\system32\wintems.exe

MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe

.

------- Examen supplémentaire -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/

O8 -: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-07 18:46:41

Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2008-11-07 18:47:02

ComboFix-quarantined-files.txt 2008-11-07 17:47:00

Avant-CF: 675 347 173 376 octets libres

Après-CF: 675,316,711,424 octets libres

196 --- E O F --- 2008-08-05 01:01:18

[snooky]

Tu viens d'installer Antivir ? ...

Ouvre un nouveau fichier texte avec Notepad .

Colle ce texte dedans :

c:\windows\System32\drivers\srosa2.sys

Renomme ce fichier en CFScript.txt

Glisse ce fichier texte sur l'icone ComboFix :

Le pc va redémarrer .

Poste le nouveau rapport ComboFix .

[campif]

Non, mais quand j'avais reussi à demarrer mon ordinateur sans plantage mon antivirus était desactivé et ne redémarrait pas donc je l'avais desinstaller mais au à la fin de la dinsinstallation mon PC a planté donc je pense qu'il a été mal désinstaller.

[snooky]

Redémarre en mode sans échec et lance à nouveau Eligagla :

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Poste également le rapport créé.

Lance Tools Cleaner > rechercher , puis supprime tout ce qu'il trouve.

Clique également sur corbeille et temp.

http://www.pcinpact.com/forum/index.php?sh...l=tools+cleaner

Réinstalle Antivir.

[campif]

Je suis sur windows vista il n'y a pas de SP3 je crois ?

[snooky]

ha vi ... lol

[campif]

ha vi ... lol

Y a pas de souci, lol.

[campif]

Voilà j'ai fait ce que tu m'a dit, voici le log d'elibagla :

Fri Nov 07 19:24:00 2008

EliBagle v11.94 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Nov 07 19:24:01 2008

EliBagle v11.94 ©2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Noviembre del 2008)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 13471

Nº Total de Ficheros: 94206

Nº de Ficheros Analizados: 12617

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[snooky]

Comment se comporte le pc ?

Antivir a détecté quelque chose ?

...

[campif]

Le PC se comporte bien mais je n'arrive toujours pas à installer antivir ni à avoir une connection internet en wifi, des services sont desactivés, l'UAC continu de fonctionner alors que je l'ai désactivé.

[snooky]

Si tu as le CD Vista , lance une réparation du système .

[campif]

Même en réparant windows vista je n'arrive toujours pas à le faire marcher le wifi, il dit que le service sans windows n'est pas activé.

Mais quand je regarde dans les services windows et que j'essaye de démarrer le service "service de configuration automatique WLAN" il me fait une erreur impossible de demarrer le service.

[snooky]

Quelles sont les dépendances de ce service ? ( regarde via services.msc , double clique sur le service , onglet dépendance )

Puis démarre ou redémarre éventuellement les services concernés ...

[snooky]

Essaye cet " outil " en ligne :

http://www.libellules.ch/wifi/page1.php

[campif]

Merci beaucoup de ton aide mais j'ai reussi finalement en modifiant la base des registres, je suis allé dans HKLM/systeme/curentcontrolset/service/ndisuio et j'ai modifié "start" je l'ai passé de 4 à 2.

Merci beaucoup de m'avoir aider, je n'ai plus de souci. A une prochaine.