Sujet Précédent Sujet Suivant

Infection Bagle

Résolu/Fermé
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008 - 23 juin 2008 à 15:35
 Utilisateur anonyme - 23 juin 2008 à 20:01
Bonjour,
voilà mon ordinateur portable (tournant sous windows xp) est depuis hier infecté par bagle. J ai écumé les forums à la recherche de solutions que j 'ai presque toutes testées ( elibagle malwarebytes combofix hjackthis ccleaner, plus divers programmes de désinfections: fxbeagle antibagle).
J'ai éffacé le fichier coupable de l infection. Et j ai pu faire tourner les programmes en mode sans echec pendant un moment ce qui n'est plus possible maintenant.J'ai essayé d'effacer les entrées relatives au virus(srosa, hldrrrr, mdelk) dans la base de registre.
Evidemment impossible de lancer l antivirus (bitdefender freeedition).
j 'ai tout essayé et réessayé mais à mon avis sans méthode.
Bref Au secours!!!! je vous remercie d'avance pour vos réponses.
Cordialement.

Voici le dernier rapport obtenu avec combofix.


ComboFix 08-06-20.4 - Olivier 2008-06-23 15:01:41.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.608 [GMT 2:00]
Endroit: C:\Documents and Settings\Olivier\Bureau\Combo-Fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 14:26 . 2008-06-23 14:26 <REP> d-------- C:\Program Files\Trend Micro
2008-06-23 12:48 . 2008-06-23 12:48 <REP> d-------- C:\Documents and Settings\Dysienka\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 03:00 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 00:42 . 2008-06-23 00:42 <REP> d-------- C:\Muestras
2008-06-22 20:10 . 2008-06-22 20:10 <REP> d-------- C:\Program Files\CCleaner
2008-06-22 20:05 . 2008-06-22 20:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Uniblue
2008-06-22 16:37 . 2008-06-22 16:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Shared Phrogram Files
2008-06-22 16:35 . 2008-06-22 16:35 <REP> d-------- C:\Program Files\The Phrogram Company
2008-06-20 23:23 . 2008-06-20 23:23 233,472 --a------ C:\WINDOWS\system32\ILDA32.dll
2008-06-20 23:18 . 2008-06-20 23:19 <REP> d-------- C:\coursinfo
2008-06-16 17:51 . 2008-06-16 17:52 711 --a------ C:\WINDOWS\ST5UNST.000
2008-06-16 17:51 . 2008-06-16 17:51 0 --a------ C:\WINDOWS\SETUP.LST
2008-06-14 18:57 . 2008-06-16 19:57 36 --a------ C:\WINDOWS\filog.ini
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 10:48 . 2008-06-10 10:48 <REP> d-------- C:\Program Files\VS Revo Group
2008-06-07 18:12 . 2008-06-07 18:24 <REP> d-------- C:\Program Files\Tronics
2008-06-07 18:10 . 2008-06-07 18:20 <REP> d-------- C:\Program Files\Passware
2008-06-07 17:51 . 2008-06-22 01:12 <REP> d-------- C:\Program Files\Cain
2008-06-07 17:15 . 2008-06-12 18:14 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-07 17:15 . 2008-06-07 17:15 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-03 11:12 . 2008-06-07 17:52 <REP> d-------- C:\Program Files\WinPcap
2008-06-01 16:02 . 2008-06-01 17:24 1,062 --a------ C:\WINDOWS\ARCHPR.INI
2008-06-01 16:01 . 2008-06-01 19:17 <REP> d-------- C:\Program Files\ARCHPR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 08:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-22 22:51 --------- d-----w C:\Program Files\eMule
2008-06-22 22:16 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-22 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-22 21:40 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Skype
2008-06-22 17:35 --------- d-----w C:\Program Files\a-squared Free
2008-06-22 17:26 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Azureus
2008-06-21 23:02 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Skype
2008-06-19 19:10 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-18 07:33 --------- d-----w C:\Program Files\Azureus
2008-06-07 17:07 --------- d-----w C:\Program Files\QuickTime
2008-05-16 07:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-29 14:45 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\DivX
2008-04-29 13:53 2,232 ----a-w C:\drmHeader.bin
2008-04-29 13:26 --------- d-----w C:\Program Files\DivX
2008-04-28 14:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-19 23:28 118 ----a-w C:\PowerKit.bat
2008-04-14 21:31 604 ---ha-w C:\Program Files\STLL Notifier
2008-01-21 16:37 14 ----a-w C:\Documents and Settings\Dysienka\getfile.dat
2007-11-20 17:32 14 ----a-w C:\Documents and Settings\Olivier\getfile.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:48 7561216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"VIDC.XVID"= xvid.dll
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R2 srundll32_serv;srundll32;C:\WINDOWS\system32\srundll32_serv.exe [2008-04-09 11:53]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-05 03:59]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS []
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-01-28 21:31]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d644b0be-fae4-11db-afaf-001060a17d76}]
\Shell\AutoRun\command - E:\SETUP.EXE
\Shell\configure\command - E:\SETUP.EXE
\Shell\install\command - E:\SETUP.EXE

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 15:09:09
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-23 15:13:12 - machine was rebooted [Olivier]
ComboFix-quarantined-files.txt 2008-06-23 13:13:08

Pre-Run: 15,023,505,408 octets libres
Post-Run: 14,963,355,648 octets libres

151 --- E O F --- 2008-06-20 11:32:59

31 réponses

  • 1
  • 2
Réponse 1 / 31
Utilisateur anonyme
23 juin 2008 à 19:52
oki ça sent bon

ensuite fais un mise a jours a malewarebyte puis passe le en mode sans echec pour completer

et ça devrait suffir je pense
1
Réponse 2 / 31
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 juin 2008 à 15:39
Salut !!

Essaye celui ci : https://www.broadcom.com/support/security-center
0
Réponse 3 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 15:43
Merci je vais l 'essayer.
0
Réponse 4 / 31
Utilisateur anonyme
23 juin 2008 à 15:47
Salut à tous les deux

pour suivre merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 16:15
Le scan prend encore une fois 3 heures mais je pense pas qu il aboutisse vu que j ai éssayé "10000" scans et qu il y a toujours des entrées qui reviennent dans le registre.
Et j ai oublié de de dire que je peux travailler sous un compte mais pas sous l'autre(celui sur lequel l'infection a eut lieu) sous peine d'avoir des bugs (écran bleus)
0
lentjus Messages postés 66 Date d'inscription dimanche 11 septembre 2005 Statut Membre Dernière intervention 18 août 2015
23 juin 2008 à 16:18
bonjour;,
Désinstalle ton application piratée, et ça ira beaucoup mieux
Cordialement
0
Réponse 6 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 16:23
A priori j ai supprimé le fichier (pseudo crack) responsable qui n a je pense rien cracké.
0
lentjus Messages postés 66 Date d'inscription dimanche 11 septembre 2005 Statut Membre Dernière intervention 18 août 2015
23 juin 2008 à 16:31
Re,
Il faut le désinstaller proprement.
Regarde ce post ici https://forum.pcastuces.com/infecte_baggle-f25s40888.htm
0
Réponse 7 / 31
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 juin 2008 à 16:26
Télécharge hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé, le renommer scan.exe
-Double-clic dessus
- Clic sur "Do a system scan and save the log"
- copier le rapport, le coller dans la réponse
0
Réponse 8 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 16:37
voilà le scan de hijacckthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:04, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\srundll32_serv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Olivier\Bureau\FxBgleMO.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\scan.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" /dump:os_startup
O9 - Extra button: Réglage rapide de Outpost Security Suite Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Security Suite Pro\ie_bar.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\PROGRA~1\A-SQUA~1\a2service.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - Unknown owner - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: srundll32 (srundll32_serv) - Everstrike Software - C:\WINDOWS\system32\srundll32_serv.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 9 / 31
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 juin 2008 à 16:40
où as tu installé hijackthis??

car je ne le vois pas dans ton rapport
0
Réponse 10 / 31
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 juin 2008 à 16:41
tu dois l installer dans les programmes du disque C

Si ce n est pas le cas, désinstalle le et réinstalle le sur le disque C.

Ensuite refais un nouveau rapport
0
Réponse 11 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 16:42
voilà le chemin
C:\Program Files\Trend Micro\HijackThis
0
Réponse 12 / 31
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
23 juin 2008 à 16:45
dsl j avais pas fais attention..

ca a l air bon, je ne vois plus d infections..

tu peux faire ceci :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

Télécharge toolscleaner sur ton Bureau : http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
0
Réponse 13 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 16:59
Voilà le rapport de toolscleaner . (petite question annexe est ce normal si je n arrive ni à ouvrir ni à désinstaller bitdefender??)




-->- Recherche:

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Olivier\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Olivier\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Olivier\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Olivier\Bureau\HJTInstall.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: ERREUR DE SUPPRESSION !!
0
Réponse 14 / 31
Utilisateur anonyme
23 juin 2008 à 17:00
re

quel est le message d erreure au sujet de bitdefender ??
0
Réponse 15 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 17:10
...\bdmcon.exe n'est pas une application Win32 valide. Et je viens d'avoir le droit a un plantage en essayant de le désinstaller.
0
Réponse 16 / 31
Utilisateur anonyme
23 juin 2008 à 17:17
c donc la preuve que bagle est present

le mode sans echec est toujours inaccessible ??
0
Réponse 17 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 17:19
a priori oui :(
0
Réponse 18 / 31
Utilisateur anonyme
23 juin 2008 à 17:25
oki

1) retelecharge combofix sur une clé usb

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2) repare le mode sans echec:

pour réparer le mode sans echec :
http://www.malekal.com/download/SafeBoot.reg
Et choisis " enregistrer la cible sous" afin de télécharger SafeBoot.reg sur ton Bureau.
Doubles clique dessus et acceptes la fusion avec le registre.

3) redémarre en mode sans echec met toi sous la session ou tu as eu le probleme bagle et fais un scan avec combofix

ensuite redémarre en mode normal et envoi le rapport combofix stp

0
Réponse 19 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 17:28
ok merci j essaye ca et tout à l heure j 'espère.
0
Réponse 20 / 31
oli974 Messages postés 20 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 30 octobre 2008
23 juin 2008 à 17:57
Voila le rapport de combofix sous l autre compte en mode sans échecs.


ComboFix 08-06-20.4 - Dysienka 2008-06-23 17:47:02.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.644 [GMT 2:00]
Endroit: C:\Documents and Settings\Dysienka\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 15:53 . 2008-06-23 15:53 <REP> d-------- C:\WINDOWS\LastGood
2008-06-23 15:51 . 2008-02-21 18:31 1,073,745 --a------ C:\WINDOWS\system32\drivers\VBEngNT.sys
2008-06-23 15:51 . 2008-03-12 12:31 449,184 --a------ C:\WINDOWS\system32\drivers\SandBox.sys
2008-06-23 15:51 . 2008-02-27 18:28 206,352 --a------ C:\WINDOWS\system32\drivers\afw.sys
2008-06-23 15:51 . 2007-10-29 17:45 49 --a------ C:\WINDOWS\transp.gif
2008-06-23 15:50 . 2008-06-23 16:04 <REP> d-------- C:\WINDOWS\system32\Filt
2008-06-23 15:50 . 2008-06-23 15:50 <REP> d-------- C:\Program Files\Agnitum
2008-06-23 15:50 . 2008-06-23 15:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Agnitum
2008-06-23 14:26 . 2008-06-23 14:26 <REP> d-------- C:\Program Files\Trend Micro
2008-06-23 12:48 . 2008-06-23 12:48 <REP> d-------- C:\Documents and Settings\Dysienka\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-23 03:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 03:00 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 03:00 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 00:42 . 2008-06-23 00:42 <REP> d-------- C:\Muestras
2008-06-22 20:10 . 2008-06-22 20:10 <REP> d-------- C:\Program Files\CCleaner
2008-06-22 20:05 . 2008-06-22 20:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Uniblue
2008-06-22 16:37 . 2008-06-22 16:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Shared Phrogram Files
2008-06-22 16:35 . 2008-06-22 16:35 <REP> d-------- C:\Program Files\The Phrogram Company
2008-06-20 23:23 . 2008-06-20 23:23 233,472 --a------ C:\WINDOWS\system32\ILDA32.dll
2008-06-20 23:18 . 2008-06-20 23:19 <REP> d-------- C:\coursinfo
2008-06-16 17:51 . 2008-06-16 17:52 711 --a------ C:\WINDOWS\ST5UNST.000
2008-06-16 17:51 . 2008-06-16 17:51 0 --a------ C:\WINDOWS\SETUP.LST
2008-06-14 18:57 . 2008-06-16 19:57 36 --a------ C:\WINDOWS\filog.ini
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 10:48 . 2008-06-10 10:48 <REP> d-------- C:\Program Files\VS Revo Group
2008-06-07 18:12 . 2008-06-07 18:24 <REP> d-------- C:\Program Files\Tronics
2008-06-07 18:10 . 2008-06-07 18:20 <REP> d-------- C:\Program Files\Passware
2008-06-07 17:51 . 2008-06-22 01:12 <REP> d-------- C:\Program Files\Cain
2008-06-07 17:15 . 2008-06-12 18:14 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-07 17:15 . 2008-06-07 17:15 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-03 11:12 . 2008-06-07 17:52 <REP> d-------- C:\Program Files\WinPcap
2008-06-01 16:02 . 2008-06-01 17:24 1,062 --a------ C:\WINDOWS\ARCHPR.INI
2008-06-01 16:01 . 2008-06-01 19:17 <REP> d-------- C:\Program Files\ARCHPR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 08:29 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-22 22:51 --------- d-----w C:\Program Files\eMule
2008-06-22 22:16 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-22 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-22 22:13 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-06-22 21:40 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Skype
2008-06-22 17:35 --------- d-----w C:\Program Files\a-squared Free
2008-06-22 17:26 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Azureus
2008-06-21 23:02 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\Skype
2008-06-19 19:10 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-18 07:33 --------- d-----w C:\Program Files\Azureus
2008-06-16 16:21 90,112 ----a-w C:\WINDOWS\system32\YMSG12ENCRYPT.dll
2008-06-16 16:21 33,088 ----a-w C:\WINDOWS\system32\FM20ENU.DLL
2008-06-16 16:21 200,704 ----a-w C:\WINDOWS\system32\yacsui.dll
2008-06-16 16:21 1,190,688 ----a-w C:\WINDOWS\system32\FM20.DLL
2008-06-07 17:07 --------- d-----w C:\Program Files\QuickTime
2008-05-16 07:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 04:55 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 04:55 1,294,336 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-29 14:45 --------- d-----w C:\Documents and Settings\Dysienka\Application Data\DivX
2008-04-29 13:53 2,232 ----a-w C:\drmHeader.bin
2008-04-29 13:26 --------- d-----w C:\Program Files\DivX
2008-04-28 14:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-23 20:16 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:41 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:41 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-04-19 23:28 118 ----a-w C:\PowerKit.bat
2008-04-14 21:31 604 ---ha-w C:\Program Files\STLL Notifier
2008-04-09 09:53 65,536 ------w C:\WINDOWS\system32\srundll32_serv.exe
2008-04-09 07:24 695,808 ----a-w C:\WINDOWS\system32\PKernel32.exe
2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-01-21 16:37 14 ----a-w C:\Documents and Settings\Dysienka\getfile.dat
2007-11-20 17:32 14 ----a-w C:\Documents and Settings\Olivier\getfile.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 10:48 7561216]
"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-06-09 14:08 1028096]
"OutpostFeedBack"="C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" [2008-05-21 18:15 419160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\agnitum\outpos~1\wl_hook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"VIDC.XVID"= xvid.dll
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys [2008-03-12 12:31]
S2 acssrv;Agnitum Client Security Service;C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe [2008-05-21 18:15]
S2 srundll32_serv;srundll32;C:\WINDOWS\system32\srundll32_serv.exe [2008-04-09 11:53]
S3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys [2008-02-27 18:28]
S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll [2008-03-12 12:32]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-05 03:59]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS []
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 VBEngNT;VBEngNT;C:\WINDOWS\system32\DRIVERS\VBEngNT.sys [2008-02-21 18:31]
S3 VBFilt;VBFilt;C:\WINDOWS\system32\Filt\VBFilt.dll [2008-03-12 12:32]
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-01-28 21:31]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 17:48:04
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-23 17:49:00
ComboFix-quarantined-files.txt 2008-06-23 15:48:50
ComboFix2.txt 2008-06-23 15:44:46
ComboFix3.txt 2008-06-23 13:13:13

Pre-Run: 14,795,517,952 octets libres
Post-Run: 14,780,096,512 octets libres

172 --- E O F --- 2008-06-20 11:32:59
0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infecté par un bagle ?!
ionisis -
Utilisateur anonyme -

9 réponses
Infécté par virus Bagle
cadum87 -
cadum87 -

2 réponses
worm bagle
manu2531 -
Utilisateur anonyme -

30 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses