Worm bagle ic

Bonsoir,

télécharge HijackThis:

http://pchelpbordeaux.free.fr/logiciels.html

Tutorial:

http://pchelpbordeaux.free.fr/tuto.html

Démo en image:

http://perso.orange.fr/rginformatique/section%20virus/demohi­jack.htm

Fais un scan et poste l'analyse.

a+

merci pour la rapidité de ta reponse, voici le scan que tu m as demandé:Logfile of HijackThis v1.99.1
Scan saved at 20:44:30, on 07/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
E:\AVAST\setup\avast01.setup
C:\WINDOWS\system32\sstray.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
F:\daemon tools\daemon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Eric\Application Data\hidires\hidr.exe
C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
E:\Mes documents\mes photos\NkbMonitor.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program

Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [DAEMON Tools] "F:\daemon tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] E:\AVAST\ashDisp.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program

Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers

communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkbMonitor.exe.lnk = E:\Mes documents\mes photos\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) -

http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

http://a840.g.akamai.net/...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -

http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -

http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -

http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe

Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program

Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers

communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software -

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Puis je continué a navigué normalement ou dois je me contenté de petites connection pour pouvoir te lire?
merci

re, navigue normalement!

Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau:

https://europe.f-secure.com/exclude/blacklight/index.shtml

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse!

a+

re,

ok, l'infection est ciblée!

télécharge ELIBAGLA sur ton bureau:

http://www.zonavirus.com/datos/archivos/Descargas/Utilidades­%20SATINFO/EliBaglA.exe

Double-clic sur Elibagla.exe>laisse la case
"eliminar ficheros automaticamente" coché>clique sur"explorar"
>laisse-le travailler>poste le rapport final qui sera
dans c:\infosat.txt

a+

re,

poste un nouveau rapport blacklight!

a+

rebonsoir,
voici le scan de blacklight (belbeta)que tu m as demandé:
03/07/07 21:51:27 [Info]: BlackLight Engine 1.0.55 initialized
03/07/07 21:51:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/07/07 21:51:27 [Note]: 7019 4
03/07/07 21:51:27 [Note]: 7005 0
03/07/07 21:51:27 [Note]: 7006 0
03/07/07 21:51:27 [Note]: 7011 1856
03/07/07 21:51:27 [Note]: 7026 0
03/07/07 21:51:27 [Note]: 7026 0
03/07/07 21:51:27 [Note]: 7024 3
03/07/07 21:51:27 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
03/07/07 21:51:27 [Note]: 7024 3
03/07/07 21:51:27 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
03/07/07 21:51:30 [Note]: FSRAW library version 1.7.1021
03/07/07 21:51:33 [Note]: 10002 2
03/07/07 21:51:33 [Note]: 10002 2
merci....

re,

pourquoi ils font de la résistance!

télécharge pocket killbox directement sur ton bureau :

http://www.killbox.net/

Assure toi d'avoir accès aux fichiers cachés :

tu devras passer par panneau de configuration>outils>option des dossiers> onglet affichage>cocher la case "afficher les dossiers et ficchiers caché".

Lance Pocket killbox
coche la case delete on reboot
Dans le champs "Full Path of File to Delete" , copie :

C:\WINDOWS\system32\hldrrr.exe

Puis clik sur le rond rouge avec la croix blanche.

recommence la même opération avec :


C:\WINDOWS\system32\wintems.exe

Si killbox redémarre ton pc, laisse le faire sinon redémarre toi même.

poste ensuite (encore un nouveau blacklight)

a+

re,

c'est le même outil!

Comment se comporte avast maintenant?

a+

re,

désinstalle le et ensuite réinstalle le!

dis moi ce que ça donne!

a+

re,

essaie en mode sans échec!

a+

Re,
voici le rapport d' AVG:

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 22:22:40 08/03/2007

+ Résultat de l'analyse:



C:\Documents and Settings\Eric\Bureau\EliBaglA.exe -> Heuristic.Win32.AVKiller : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.61:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.14:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.15:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.62:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.63:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.19:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.20:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.21:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.22:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.51:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.52:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.53:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.29:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.30:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.31:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.32:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.37:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.10:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.11:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.12:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.6:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.7:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.8:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.9:C:\Documents and Settings\NocaliS\Application Data\Mozilla\Firefox\Profiles\s6f8bx1i.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

merci...

re,

ok rien dans ce rapport qui peut empêcher l'installation d'avast!

tu as plusieurs partitions sur ton disque?

a+

re,

oui supprime tout ce qui concerne kaspersky, ça peut créer des conflits!

Dans ton rapport hijackthis, je vois ceci:

O4 - HKLM\..\Run: [avast!] E:\AVAST\ashDisp.exe > donc sur E:\

Installe le bien sur C

a+

Re,
j ai refait une install et la tout s est installé il a fait une mise a jour et a fait un scan memoire ...tout a l air ok...enfin pour l instant...
en ce moment je suis en train de scanner mon pc avec...
alors je le laisse faire et je te dirais demain ce qu il en est...
je tiens a te remercier pour ta patience et ta gentillesse....
a demain et 1000 fois...
MERCI

bonsoir,
merci pour ton aide precieuse...
tout est rentré dans l ordre....et avast tourne correctement...

Re,
apres avoir suivi a la lettre les instructions de mon "sauveteur" ,mon pc tourne correctement et mon antivirus est revenu et me protege correctement....
encore merci a toute l equipe de venir en aide aux noobs....

Bonsoir,

content de voir que tout fonctionne!

Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = BAGLE

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


Indique aussi le nom du Forum qui t'a aidé, Comment ça Marche !

a+