Création
d'entreprise
Posez votre question Signaler

I:\WINDOWS\wintems.exe - Win32.Bagle.SUQ@mm [Résolu]

panter1963 51Messages postés 24 septembre 2009Date d'inscription 28 mai 2010Dernière intervention - Dernière réponse le 30 janv. 2010 à 11:35
Bonjour,
J ai un méchant prob...je ne peux plus....ouvrir mes programmes...ni le safemode..ni mon antivirus...ni Ccleaner
j ai fais un scan en ligne:BitDefender QuickScan Beta 32-bit v0.9.8.1 mais apres je fais quoi ??????????????????????????????
------------------------------------------
Scan date: Fri Nov 13 00:22:56 2009
Machine ID: A865BD9C
Process winupgro.exe (1960) - hidden process!
Process wintems.exe (4080) - hidden process!
Process wintems.exe (4080) - Win32.Bagle.SUQ@mm
Found 1 infected file!
------------------------
I:\WINDOWS\wintems.exe - Win32.Bagle.SUQ@mm
Processes
---------
<unsigned> winupgro.exe 1960 I:\Documents and Settings\Joane\Application Data\drivers\winupgro.exe
<unsigned> LClock Application 1732 I:\Program Files\LClock\LClock.exe
<unsigned> mp4Player.exe 1900 I:\Program Files\MP4 Player\mp4Player.exe
<unsigned> Style Change Application 2036 I:\Program Files\Styler\Styler.exe
<unsigned> Windows Sidebar 1864 I:\Program Files\Windows Sidebar\sidebar.exe
<unsigned> Windows Sidebar 1596 I:\Program Files\Windows Sidebar\sidebar.exe
<unsigned> Windows Sidebar 1236 I:\Program Files\Windows Sidebar\sidebar.exe
<unsigned> Agere Soft Modem Call Progress Service 788 I:\WINDOWS\system32\agrsmsvc.exe
<unsigned> CrypKey NT Service 1036 I:\WINDOWS\system32\crypserv.exe
<unsigned> wintems.exe 4080 I:\WINDOWS\wintems.exe
<verified> Bonjour Service 992 I:\Program Files\Bonjour\mDNSResponder.exe
<verified> SPYWAREfighter Application 1824 I:\Program Files\Fighters\SPYWAREfighter\SWPROTray.exe
<verified> VIRUSfighter Application 1840 I:\Program Files\Fighters\VIRUSfighter\VFPROTray.exe
<verified> GoogleToolbarNotifier 1892 I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
<verified> Java(TM) Quick Starter Service 1232 I:\Program Files\Java\jre6\bin\jqs.exe
<verified> IType.exe 1740 I:\Program Files\Microsoft IntelliType Pro\itype.exe
<verified> Firefox 844 I:\Program Files\Mozilla Firefox\firefox.exe
<verified> Windows Explorer 1448 I:\WINDOWS\Explorer.EXE
<verified> Realtek Sound Manager 1768 I:\WINDOWS\SOUNDMAN.EXE
<verified> Client Server Runtime Process 632 I:\WINDOWS\system32\csrss.exe
<verified> CTF Loader 1856 I:\WINDOWS\system32\ctfmon.exe
<verified> hkcmd Module 1756 I:\WINDOWS\system32\hkcmd.exe
<verified> igfxTray Module 1748 I:\WINDOWS\system32\igfxtray.exe
<verified> LSA Shell (Export Version) 720 I:\WINDOWS\system32\lsass.exe
<verified> Notepad 456 I:\WINDOWS\system32\notepad.exe
<verified> Services and Controller app 708 I:\WINDOWS\system32\services.exe
<verified> Windows NT Session Manager 556 I:\WINDOWS\System32\smss.exe
<verified> Spooler SubSystem App 1484 I:\WINDOWS\system32\spoolsv.exe
<verified> Generic Host Process for Win32 Services 1112 I:\WINDOWS\system32\svchost.exe
<verified> Generic Host Process for Win32 Services 1084 I:\WINDOWS\system32\svchost.exe
<verified> Generic Host Process for Win32 Services 1044 I:\WINDOWS\System32\svchost.exe
<verified> Generic Host Process for Win32 Services 948 I:\WINDOWS\system32\svchost.exe
<verified> Generic Host Process for Win32 Services 880 I:\WINDOWS\system32\svchost.exe
<verified> Generic Host Process for Win32 Services 3152 I:\WINDOWS\System32\svchost.exe
<verified> Windows NT Logon Application 664 I:\WINDOWS\system32\winlogon.exe
Network activity
----------------
Process firefox.exe (844) connected on port 80 (HTTP) - a72-247-104-100.deploy.akamaitechnologies.com
Process firefox.exe (844) connected on port 80 (HTTP) - mail.webspeakup.com
Process firefox.exe (844) connected on port 80 (HTTP) - lga15s03-in-f100.1e100.net
Process firefox.exe (844) connected on port 80 (HTTP) - lga15s04-in-f100.1e100.net
Process firefox.exe (844) connected on port 80 (HTTP) - lga15s02-in-f100.1e100.net
Process firefox.exe (844) connected on port 80 (HTTP) - mail.webspeakup.com
Process firefox.exe (844) connected on port 80 (HTTP) - lga15s04-in-f104.1e100.net
Process firefox.exe (844) connected on port 80 (HTTP) - lga15s04-in-f104.1e100.net
Process firefox.exe (844) connected on port 80 (HTTP) - a72-247-108-20.deploy.akamaitechnologies.com
Process firefox.exe (844) connected on port 80 (HTTP) - 77.235.49.24
Process firefox.exe (844) connected on port 80 (HTTP) - lga15s04-in-f104.1e100.net
Process firefox.exe (844) connected on port 80 (HTTP) - mail.webspeakup.com
Process svchost.exe (948) listens on ports: 135 (RPC)
Process svchost.exe (1112) listens on ports: 2869 (SSDP event notification, UPNP)
Process wintems.exe (4080) listens on ports: 17555
Autoruns and critical files
---------------------------
<unsigned> Spyware Terminator Realtime Shield C:\Spyware Terminator\SpywareTerminatorShield.exe
<unsigned> Antivirus System Tray Tool I:\Program Files\Avira\AntiVir Desktop\avgnt.exe
<unsigned> Adobe Gamma Loader I:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
<unsigned> LClock Application I:\Program Files\LClock\LClock.exe
<unsigned> mp4Player.exe I:\Program Files\MP4 Player\mp4Player.exe
<unsigned> QuickTime Task I:\Program Files\QuickTime\qttask.exe
<unsigned> msnmsgr.exe I:\Program Files\Windows Live\Messenger\msnmsgr.exe
<unsigned> Windows Sidebar I:\Program Files\Windows Sidebar\sidebar.exe
<unsigned> Windows Logon UI I:\WINDOWS\system32\logonui.exe
<unsigned> Windows Shell Common Dll I:\WINDOWS\system32\shell32.dll
<verified> Apple Software Update I:\Program Files\Apple Software Update\SoftwareUpdate.exe
<verified> Adobe Reader and Acrobat Manager I:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
<verified> SPYWAREfighter Application I:\Program Files\Fighters\SPYWAREfighter\SWPROTray.exe
<verified> VIRUSfighter Application I:\Program Files\Fighters\VIRUSfighter\VFPROTray.exe
<verified> GoogleToolbarNotifier I:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
<verified> Java(TM) Platform SE binary I:\Program Files\Java\jre6\bin\jusched.exe
<verified> IType.exe I:\Program Files\Microsoft IntelliType Pro\itype.exe
<verified> Adobe Flash Player Updater 9.0 r16 I:\Program Files\Mozilla Firefox\plugins\GetFlash.exe
<verified> Realtek Sound Manager I:\WINDOWS\SOUNDMAN.EXE
<verified> Shell Browser UI Library I:\WINDOWS\system32\browseui.dll
<verified> Crypto API32 I:\WINDOWS\system32\crypt32.dll
<verified> Crypto Network Related API I:\WINDOWS\system32\cryptnet.dll
<verified> Offline Network Agent I:\WINDOWS\system32\cscdll.dll
<verified> CTF Loader I:\WINDOWS\system32\ctfmon.exe
<verified> DIMS Notification Handler I:\WINDOWS\system32\dimsntfy.dll
<verified> Windows Error Reporting Dump Reporting Tool I:\WINDOWS\system32\dumprep.exe
<verified> hkcmd Module I:\WINDOWS\system32\hkcmd.exe
<verified> igfxsrvc Module I:\WINDOWS\system32\igfxsrvc.dll
<verified> igfxTray Module I:\WINDOWS\system32\igfxtray.exe
<verified> Secondary Logon Service Notification DLL I:\WINDOWS\system32\sclgntfy.dll
<verified> Systray shell service object I:\WINDOWS\system32\stobject.dll
<verified> Userinit Logon Application i:\windows\system32\userinit.exe
<verified> Web Site Monitor I:\WINDOWS\system32\webcheck.dll
<verified> Common DLL to receive Winlogon notifications I:\WINDOWS\system32\wlnotify.dll
<verified> Windows Portable Device Shell Service Object I:\WINDOWS\system32\WPDShServiceObj.dll
Browser plugins
---------------
<unsigned> Bonjour Namespace Provider I:\Program Files\Bonjour\mdnsNSP.dll
<unsigned> SuperSearch Module i:\program files\easysearch\bho\7.supersearch.dll
<unsigned> Java(TM) Quick Starter binary i:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigned> Adobe Shockwave for Director Netscape plug-in, ver I:\Program Files\Mozilla Firefox\plugins\np32dsw.dll
<unsigned> nppdf32.FRA I:\Program Files\Mozilla Firefox\plugins\nppdf32.FRA
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigned> The QuickTime Plugin allows you to view a wide var I:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
<unsigned> StylerToolbar i:\program files\styler\tb\stylertb.dll
<unsigned> bdoscandel.exe I:\WINDOWS\bdoscandel.exe
<unsigned> bdupd.dll I:\WINDOWS\Downloaded Program Files\bdupd.dll
<unsigned> Download Manager ActiveX Control I:\WINDOWS\Downloaded Program Files\CONFLICT.1\DownloadManagerV2.ocx
<unsigned> Download Manager ActiveX Control I:\WINDOWS\Downloaded Program Files\DownloadManagerV2.ocx
<unsigned> ipsupd.dll I:\WINDOWS\Downloaded Program Files\ipsupd.dll
<unsigned> BitDefender Online Scanner I:\WINDOWS\Downloaded Program Files\oscan8.ocx
<unsigned> Adobe Shockwave for Director Netscape plug-in, ver I:\WINDOWS\system32\Adobe\Director\np32dsw.dll
<verified> Adobe PDF Helper for Internet Explorer i:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
<verified> WindowsLiveLogin.dll i:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
<verified> Fast Search i:\program files\google\google toolbar\component\fastsearch_b7c5ac242193bb3e.dll
<verified> Google Toolbar i:\program files\google\google toolbar\googletoolbar_32.dll
<verified> GoogleToolbarNotifier I:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
<verified> Picasa plugin I:\Program Files\Google\Picasa3\npPicasa3.dll
<verified> npitunes.dll I:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
<verified> Java(TM) Platform SE binary i:\program files\java\jre6\bin\jp2ssv.dll
<verified> Plugin NPAPI Ma-Config.com I:\Program Files\ma-config.com\nphardwaredetection.dll
<verified> Adobe Flash Player Updater 9.0 r16 I:\Program Files\Mozilla Firefox\plugins\GetFlash.exe
<verified> getplusplusadobe16249 I:\Program Files\Mozilla Firefox\plugins\np_gp.dll
<verified> NPRuntime Script Plug-in Library for Java(TM) Depl I:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
<verified> Default Plug-in I:\Program Files\Mozilla Firefox\plugins\npnul32.dll
<verified> Office Plugin for Netscape Navigator I:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL
<verified> Adobe PDF Plug-In For Firefox and Netscape I:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
<verified> NPSWF32.dll I:\Program Files\Mozilla Firefox\plugins\NPSWF32.dll
<verified> Yahoo! Toolbar i:\program files\yahoo!\companion\installs\cpn\yt.dll
<verified> Download Manager ActiveX Control I:\WINDOWS\Downloaded Program Files\CONFLICT.1\Manager.exe
<verified> Adobe® Flash® Player ActiveX Installer I:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verified> Download Manager ActiveX Control I:\WINDOWS\Downloaded Program Files\Manager.exe
<verified> Facebook Photo Uploader 5 Control I:\WINDOWS\Downloaded Program Files\PhotoUploader55.ocx
<verified> Windows Presentation Foundation (WPF) plug-in for I:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
<verified> Network Diagnostic for Windows XP I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verified> Internet Explorer I:\WINDOWS\system32\ieframe.dll
<verified> NPSWF32.dll I:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verified> Microsoft Windows Sockets 2.0 Service Provider I:\WINDOWS\system32\mswsock.dll
<verified> Microsoft Windows Rsvp 1.0 Service Provider I:\WINDOWS\system32\rsvpsp.dll
<verified> LDAP RnR Provider DLL I:\WINDOWS\system32\winrnr.dll
Missing files
-------------
File not found: I:\Program Files\Registry_Doktor 4.1\RegistryDoktor.exe
referenced in: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"RDfrNET"
File not found: WgaLogon.dll
referenced in: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\"DllName"
Scan
----
The following file(s) must be uploaded for server-side scanning:
I:\Documents and Settings\Joane\Application Data\drivers\winupgro.exe
I:\WINDOWS\system32\ckldrv.sys
I:\Program Files\Windows Live\Messenger\msnmsgr.exe
Upload started - 3 file(s)
Upload: I:\Documents and Settings\Joane\Application Data\drivers\winupgro.exe - 782336 bytes, hash: d0aaa634efad28bce6605a1e2f2501ed
Upload: I:\Program Files\Windows Live\Messenger\msnmsgr.exe - 782336 bytes, hash: d0aaa634efad28bce6605a1e2f2501ed
Upload: I:\WINDOWS\system32\ckldrv.sys - 24608 bytes, hash: 6f601035e8e084ec8da4441128025720
Upload speed - 26 KB/s
Upload finished - 3 uploaded, 0 failed
The uploaded file(s) were found clean.
Scan finished - communication took 60 sec
Total traffic - 1.57 MB sent, 3.09 KB recvd
Scanned 958 files and modules - 332 seconds
mais apres je fais quoi ??????????????????????????????
Lire la suite 

I:\WINDOWS\wintems.exe - Win32.Bagle.SUQ@mm »

4 réponses
Réponse
+0
moins plus
jeanduchere 54Messages postés 24 novembre 2009Date d'inscription 25 nov. 2009 à 07:13
suprime les fichiers suspect mais esséye pas de les ouvrir

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
rouldug 30 janv. 2010 à 11:25
Je cherchais un screensaver joli (avec mot de passe pour éviter que mes kids aillent à tout moment sur l'ordi). Je trouve un fichier que je dézippe, mon antivirus avira ne détecte rien et lui et mon pare feu Comodo s'arrêtent (icone disparait sur la barre des tâches). Comme cet ordi est une trappanelle et marche sous w2000, ça a été un sacré pb pour trouver une application actuelle qui daigne fonctionner sous cet OS mais j'y suis arrivé.
Les programmes genre Elibagla et leurs suites sont tellement chiants à mettre en place que j'ai procédé autrement.

1 - Aller sur le site McCaffee et faire un freescan en ligne http://fr.mcafee.com/root/runapplication.asp?appid=73. L'avantage est qu'il est capable de travailler sous les OS
2 - Il détectera le virus dans un fichier sous répertoire documentsandsetting/admin/applicationdata/drivers/downld
3- Aller sous explorer et détruire le répertoire downld précité
4 - Noter l'application à coté de ce répertoire du style imgpro.exe (un nom dans ce goût là) et lancer l'application regedit (commande démarrer/exécuter/taper "regedit") ensuite touche F3 taper le nom de l'application précitée, lancer une recherche et supprimer tous les liens en rapport avec cette application.
5 - Télécharger, sauvegarder sous un fauxnom genre cfix.exe (sinon le malware le détecte et bloque son installation), et installer combofix. Lancer l'application et la laisser travailler.
6 - Aller ensuite sous regedit et supprimer tous les liens en rapport avec les applications virales signalées ("wintems.exe" et "german.exe" dans mon cas).
7 - Télécharger et installer Revo Uninstaller et supprimer Avast et COmodo (ou votre antivirus et votre parefeu) car les virus peuvent nicher dedans aussi.
8 - Relancer combofix pour un second nettoyage et le laisser travailler
9 - Télécharger Spybot en freeware et faire un nettoyage final (il détectera le virus W32 Bagle dans l'application de la barre des taches de Firefox et d'Internet Explorer) et lui demander de tout supprimer/nettoyer.
Comme cela j'ai tout nettoyé.
Le problème avec ce malware c'est qu'en fait il ya une application générale imgpro.exe bien planquée qui empêche de supprimer ces virus. Si vous bousillez physiquement cette application, on peut y arriver.

 Ajouter un commentaire
rouldug - 30 janv. 2010 à 11:33
Juste une précision.
Avzc l'application Revo uninstaller, bien vérifier sous la commande outils "gestionnaire de démarrage" que les virus ne sont pas en mémoire vive.
Sinon, il faut les supprimer et tout recommencer à partir de la 1er étape Combofix
Ajouter un commentaire
Réponse
+0
moins plus
crapoulou 33375Messages postés 28 novembre 2007Date d'inscription 28 avril 2012Dernière intervention 30 janv. 2010 à 11:35
Salut rouldug !
Merci pour ces explications mais combofix sans savoir le manier je trouve cela dangereux !!!
Sans console de récupération non plus tant qu'on y est !

Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « I:\WINDOWS\wintems.exe - Win32.Bagle.SUQ@mm » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?