bonjour a tous
 
ce matin en voulant lancer un scan avec mon ant-virus et spybots, j'ai constaté que le fichier .exe avait disparu.
seulemnt ces deux la
 
j ai desinstallé donc spybots et norton, mais quand je veux les reinstaller le fichiers .exe est effacé tout de suite
 
ca doit etre un virus?
sinon comment peut ton l efffacer puisque norton marche plus ?
d apres un pote hldrrr.exe, ou wintems.exe ou hidr.exe seraient responsable, mais j ai fait rechercher et pas vu
merci de votre aide
pascale

Salut,

Télécharge  Blacklight: http://www.01net.com/telecharger/w [...] 33359.html

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence;
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaitre. Tu verras également un rapport sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite.

PS au modos: le log est normalement tout petit.

ok ca doit etre ca
 
 
08/24/07 13:13:02 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
08/24/07 13:13:02 [Note]: 10002 2
08/24/07 13:13:02 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/24/07 13:13:02 [Note]: 10002 2

Tu vois les fichiers sont cachés mais tu es bien contaminé.
Le virus est BAGLE.

Télécharge antibagle-fr sur cette page.

PS: peux tu effacé ton log en passant par cet icône ? C'est un peu long et pas très joli sur le forum.

PS au modo: je pensais que le log aurait été plus petit... désolé

bon j essaye antibagle-fr, et je dis quoi
merci

je pense que le virus est toujours la
 
j ai refait belbeta...
et la ligne est toujours la
j ai voulu reinstaller spybots et mes fichiers .exe ont disparu
 
ca m'embeterait de formater, jy connais pas grand chose
merci de votre aide
j espere que nous trouverons

08/24/07 16:40:10 [Note]: 10002 2
08/24/07 16:40:10 [Note]: 10002 2
08/24/07 16:40:29 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
08/24/07 16:40:29 [Note]: 10002 2
08/24/07 16:40:29 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
08/24/07 16:40:29 [Note]: 10002 2
08/24/07 16:41:02 [Note]: 2000 1012
08/24/07 16:41:02 [Note]: 2000 1012

regarde ici: http://www.01net.com/article/303267.html

24/07 20:08:20 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
08/24/07 20:08:20 [Note]: 10002 2
08/24/07 20:08:20 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
 
ils sont toujours la, j ai bien suivi les procedures pourtant.
le scan passe dessus et rien pfffff...
si il ya une autre solution.. a part le formatage.
et si j efface les lignes manuellement ?
merci a vous et a bientot pour la suite j espere
pascale

j ai reussi a resoudre le probleme
j ai utilise le logiciel OtmoveIt.exe
il faut inscrire dans la partie de gauche les lignes concernées par le trojan:Hidden file: c:\WINDOWS\system32\drivers\srosa.sys et l autre bien sur.Ce logiciel les a effacés.Après avoir redemarrer le pc, j ai fait un scanavec fsbl.exe.Nikel!.reinstallez spybots et antivirus.MERCI OGABY

Salut!
 
J'ai le même problème. Après avoir utilisé BlackLight et OtmoveIt. Ce dernier me demande de rebooter pour finaliser mais..evidment, mon ordi ne peut redémarrer sans que je passe par ««activer les dernier paramètres fonctionels», ce qui réinstalle mon Bagle Hidr et ses sbires!
 
..le mode sans echec n'est pas utilisable et j'ai peur que si je désactive le mode «récuparation», bien ej ne pourrai plus aller dans mon ordi pour faire quoi que ce soit!
 
 
Que faire pour cleaner tout de suite et ensuite rebooter normalement et être sur du résultat?
 
merci
 

Tu as bien désactivé la restauration système comme il est dit dans le lien que j'ai donné?

OUI à la fin tantpot, j'ai «osé» désactiver la restauration système et redémarrer sans ré-avoir réactiver la restauration..malheureusement éviement, au redémarrage, je ne pouvais que mettre «redémarrer en appliquant mes derniers paramètre fonctionnels»..sinon..écran bleu!
 
Il me semble que j'ai utilisé toutes sorte de combinaison  de scans et anti-virus
 
..voici tout d emême mon rapport de HiJackThis
 
 
Logfile of HijackThis v1.99.1
Scan saved at 15:22:48, on 02/09/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Néro\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Néro\InCD\InCD.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\FreezeScreenSaver.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wwSecure.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.ca/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [InCD] C:\Program Files\Néro\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\ImageStudio Logitech\ISStart.exe
O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Program Files\Corel\Print House Magic 4 Premium\cffrem.exe
O4 - Global Startup: Mobydock DX.lnk = C:\Program Files\Mobydock DX\Mobydock.exe
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Options RoboForm - file://C:\Program Files\AI RoboForm\RoboFormComOptions.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://downloadcenter.samsung.com/ [...] ite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/22.31/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ddancing24.spaces.live.com/ [...] nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 6470276748
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ddancing24.spaces.live.com/ [...] nPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fich [...] b?version=
O16 - DPF: {BFD90062-6B5E-4F8F-87B1-5F022C14E32F} - http://www.meetstream.com/activex/ [...] ceiver.cab
O16 - DPF: {FA30EC32-668B-4B60-B13C-4C84EB90C3C9} (ActiveID Control) - http://www.meetstream.com/activex/28081/activeid.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\System32\FreezeScreenSaver.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Néro\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe
 

ok j,essais!

mais ..que veux tu dire par «un batch»? Et je met OÙ ces lignes (..attrib.....del...etc..)

super...affaire classé!!

j'ai fait et rien ne se passe

bon telecharger elibagla
 
run
 
faire comme il dit
 
attention le dossier cree par OtmoveIt ne peut etre effacé  
 
ensuite mode sans echec
 
virer le dossier otmo (possible avec ce mode), reinstaller avast ou autre
 
et zou on reboute et ça roule jaroule  
 

J'ai cette saloperie chez moi aussi et le mode sans echec est impossible à démarrer (ecran bleu). J'ai testé pas mal d'outils français espagnols et anglais, mais sans succès pour le moment.
 
J'ai l'impression que le virus est inactif, mais il m'est impossible de réinstaller les outils de sécurité.
 
edit: elibagla ne donne rien chez moi.

je te donne ma méthode
 
il faut absolument que tu passe en mode sans echec
 
tu met fsbl sur la racine de c tu regardes si tu as C:\WINDOWS\system32\drivers\hidr.exe  
C:\WINDOWS\system32\hldrrr.exe  
C:\WINDOWS\system32\drivers\srosa.sys  
 dans le fichier cree par fsbl
 
tu utilises OtmoveIt pour deplace ces programmes
 
les fichier sont deplacé dans un dossier _OtmoveIt
 
il faudra le suprimer mais tu ne peux les faire que sous dos ou sous mode sans echec
 
tu reboot f8 mode sans echec
 
tu vires _OtmoveIt
 
tu rebootes normal
 
et la tu n'as theoriquement plus rien
 
si tu as toujours le truc tu fais elibagla et flsb et tu me dis ce que tu as
 
 
il est planqué qq par ce truc il faut trouvé ou
 
surtout tu vires le programe qui t'a infecter et vide la poubelle
 
 
 
 
 
 

bonsoir !!!
 
j'ai le meme souci ennoncé ici, j'ai réalisé plusieur scan mais rien,je suis perdu.  
 
comment decrypter HijackThis??
 
aidez moi svp.
 
merci