Virus win32.Bagle ??

[Mike_bungle]

Bonjour,

J'ai un problème similaire à .: Celui-ci :.depuis hier sur mon PC.

Je n'arrive plus à faire fonctionner la plupart de mes anti-spyware (spyb.t, HijackT..s...), dès leur lancement ceux-ci se ferment tout seul. J'ai essayé de réinstaller spyb.t mais c'est pareil, la page d'installation se ferme tout de suite.

Dès que je tape les mots "spyb.t", "antivir.s" ou que j'essaie de faire un scan online mes pages internet se ferment.

J'ai fait un scan avec les logiciels qui marchent, Kasper..y, Ad-aware et AVG anti-spyw..e mais ça ne trouve rien de particulier.

J'ai redemarré en mode sans echec mais c'est pareil, mes logiciels ne fonctionnent pas !
J'ai utilisé le programme SDFix en mode sans echec, ça m'a trouvé quelques trucs qui ont été virés, j'ai redemarré mais j'ai toujours le problème.

J'ai fais un scan avec ComboFix mais ça ne change rien.

J'ai fais des scans en mode normal et en mode sans echec avec Elibagla mais il ne m'a rien trouvé. Même en désactivant mon anti-virus (Kaspersky)

J'ai tenté HijackT..s mais il ne se lance pas ni même en le renommant.

Je commence à desespérer là...quelqu'un à une idée ??

[Ask to Old Man]

Bonjour & bienvenue,

Le sujet de référence ayant été résolu, il était préférable de réouvrir un nouveau topic.
En y mentionnant le renvoi au sujet auquel tu te réfère, c'est maintenant fait.

Messieurs les "Nettoyeurs" le topic est à vous, bonne chasse!!

[H3bus]

Bonsoir,

Bagle est apparemment un virus assez coriace, mais cette manipulation en vient à bout.

Bon courage, et n'hésite pas à poser des questions en cas de problème !

[r@in | b0w]

Bonjour.

Il faut utiliser EliBagla pour enlever Bagle.

Tu télécharges Elibagla en bas de cette page en cliquant sur le cadre nommé Descargar Elibagla xx,xx.

Avant d'utiliser l'application, tu la renommes.
Pour cela, tu fais un clic droit sur l'icône puis tu cliques sur Renommer et tu nommes l'utilitaire Eli puis tu appuies sur la touche [Entrée].

Tu double-cliques ensuite sur l'icône pour lancer l'application.

Dans le cadre Unidad, sélectionnes la partition contenant ton système d'exploitation si ce n'est pas C: par défaut.
Coches aussi la ligne Eliminar Ficheros Automaticamente si elle n'est pas cochée.

Tu passes ensuite au nettoyage en cliquant sur Explorar.

Tu nous postes ensuite le rapport d'analyse dans ton prochain message.

Important: il ne faut pas tenter de redémarrer en Mode sans échec en utilisant msconfig car Bagle provoquerait un redémarrage infini.

[Mike_bungle]

J'ai déjà fait des scans avec Elibagla (sans le renommer) mais il ne me trouve rien.

Je veux bien tenter en le renommant...

[r@in | b0w]

Disons que pour vérifier encore une fois cette théorie, tu supprimes EliBagla de ta machine puis tu le télécharges à nouveau et avant de l'utiliser, tu le renommes.

Idem pour HiJackThis, il faut le renommer avant de l'utiliser sinon il sera reconnu par Bagle.

[Mike_bungle]

j'ai retélechargé Elibagla en le renommant puis lancé un scan:

Wed Sep 03 17:42:16 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Wed Sep 03 17:42:35 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 2980
Nº Total de Ficheros: 44522
Nº de Ficheros Analizados: 8756
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Rien de trouvé ! Par contre HijacT..s je peux pas le télécharger car les pages se ferment direct en voyant ce nom.

Par contre j'ai fais un scan en ligne avec F-secure et ça m'a trouvé et viré quelques trucs:
Client-IRC.Win32.mIRC (spyware)
System

Suspicious_F.gen (virus)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_RAR.EXE (Submitted)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_WINRAR.EXE (Submitted)

TrackingCookie.Xiti (spyware)
System

Trojan.Win32.Zapchast (virus)
System

Worm.Win32.AutoRun (virus)
System
Worm.Win32.AutoRun.enb (virus)
C:WINDOWSSYSTEM32CFBFAEEDEF.DLL


Mais mon problème n'a pas disparu...

[r@in | b0w]

Au risque de le rappeler, Bagle s'attrape avec des cracks vérolés téléchargés sur le net.

Et quand je vois:

Suspicious_F.gen (virus)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_RAR.EXE (Submitted)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_WINRAR.EXE (Submitted)

Il ne faut pas chercher plus loin.

Avant de faire quoi que ce soit, tu supprimes tous les cracks présents sur ta machine.
Il faut supprimer la source d'infection avant de faire le ménage!

Si tu ne le fais pas, tu pourras passer tous les utilitaires que tu veux.
A chaque lancement d'un fichier vérolé, l'infection reviendra.

Tu as (ou avais si F-Secure a fait les suppressions et que tu n'as pas relancé les infections) dans le désordre trois trojans, un spyware et peut-être encore ton fameux Bagle.

Bref, voilà pour toi:

1_ Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

2_ Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Laisse-le faire au risque sinon de faire planter le programme et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

[Mike_bungle]

Donc j'ai fait exactement comme tu m'as dis en suivant la procédure donnée et voici mon scan ComboFix:

ComboFix 08-09-01.05 - ADRIEN 2008-09-03 19:58:38.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.650 [GMT 2:00]
Endroit: C:Documents and SettingsADRIENBureauComboFi.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:InfoSat.txt

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-03 to 2008-09-03 ))))))))))))))))))))))))))))))))))))
.

2008-09-03 19:53 . 2008-09-03 19:53 <REP> d-------- C:ComboF
2008-09-03 19:41 . 2008-09-03 19:46 <REP> d-------- C:Combo
2008-09-03 00:00 . 2008-09-03 00:00 6,057 --a------ C:F-Secure Online Scanner 3_3_1 - Scanning Report - Wednesday, September 03, 2008 000006.htm
2008-09-02 00:47 . 2008-09-03 00:14 <REP> d-a------ C:Documents and SettingsAll UsersApplication DataTEMP
2008-09-02 00:47 . 2008-09-02 00:47 <REP> d-------- C:Documents and SettingsADRIENApplication DataPC Tools
2008-09-02 00:47 . 2008-08-25 11:36 81,288 --a------ C:WINDOWSsystem32driversiksyssec.sys
2008-09-02 00:47 . 2008-08-25 11:36 66,952 --a------ C:WINDOWSsystem32driversiksysflt.sys
2008-09-02 00:47 . 2008-08-25 11:36 40,840 --a------ C:WINDOWSsystem32driversikfilesec.sys
2008-09-02 00:47 . 2008-06-02 15:19 29,576 --a------ C:WINDOWSsystem32driverskcom.sys
2008-09-01 19:31 . 2004-08-20 01:11 4,190,352 --a--c--- C:WINDOWSsystem32dllcacheluna.mst
2008-08-30 16:50 . 2008-09-03 17:41 <REP> d-------- C:HijackThis
2008-08-30 16:46 . 2008-09-03 19:48 250 --a------ C:WINDOWSgmer.ini
2008-08-30 16:31 . 2008-08-30 16:31 <REP> d-------- C:Documents and SettingsAll UsersApplication DataGrisoft
2008-08-30 16:31 . 2008-08-30 16:31 <REP> d-------- C:Documents and SettingsADRIENApplication DataGrisoft
2008-08-30 16:31 . 2007-05-30 14:10 10,872 --a------ C:WINDOWSsystem32driversAvgAsCln.sys
2008-08-30 16:25 . 2008-08-30 16:25 <REP> d-------- C:Program FilesLSPFix
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d--h----- C:Documents and SettingsAdministrateurVoisinage réseau
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d--h----- C:Documents and SettingsAdministrateurVoisinage d'impression
2008-08-30 15:13 . 2008-04-21 22:04 <REP> d--h----- C:Documents and SettingsAdministrateurModèles
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d-------- C:Documents and SettingsAdministrateurMes documents
2008-08-30 15:13 . 2008-04-21 22:45 <REP> dr------- C:Documents and SettingsAdministrateurMenu Démarrer
2008-08-30 15:13 . 2008-08-30 15:26 <REP> d-------- C:Documents and SettingsAdministrateurFavoris
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d-------- C:Documents and SettingsAdministrateurBureau
2008-08-30 15:13 . 2008-08-30 15:20 <REP> d-------- C:Documents and SettingsAdministrateur
2008-08-29 21:41 . 2008-08-29 21:41 <REP> d-------- C:Documents and SettingsAll UsersApplication DataKaspersky Lab Setup Files
2008-08-29 20:57 . 2008-08-29 20:57 578,048 --a--c--- C:WINDOWSsystem32dllcacheuser32.dll
2008-08-29 20:55 . 2008-08-29 20:55 <REP> d-------- C:WINDOWSERUNT
2008-08-28 19:58 . 2008-08-28 19:58 <REP> d-------- C:Program FilesFichiers communsWise Installation Wizard
2008-08-28 18:48 . 2008-08-28 18:48 98,833 --------- C:WINDOWSsystem32AS-E5N70T30NDG6.dll
2008-08-25 18:24 . 2008-08-25 18:27 <REP> d-------- C:Program FilesMP3Gain
2008-08-19 19:43 . 2008-08-19 19:43 <REP> d-------- C:Program FilesFichiers communsDirectX
2008-08-19 19:41 . 2008-08-19 19:41 107,888 --a------ C:WINDOWSsystem32CmdLineExt.dll
2008-08-19 00:09 . 2008-08-19 00:09 244 --ah----- C:sqmnoopt09.sqm
2008-08-19 00:09 . 2008-08-19 00:09 232 --ah----- C:sqmdata09.sqm
2008-08-18 20:55 . 2008-08-18 20:55 244 --ah----- C:sqmnoopt08.sqm
2008-08-18 20:55 . 2008-08-18 20:55 232 --ah----- C:sqmdata08.sqm
2008-08-16 19:23 . 2008-08-16 19:23 244 --ah----- C:sqmnoopt07.sqm
2008-08-16 19:23 . 2008-08-16 19:23 232 --ah----- C:sqmdata07.sqm
2008-08-16 17:20 . 2007-03-12 16:42 3,495,784 --a------ C:WINDOWSsystem32d3dx9_33.dll
2008-08-16 17:20 . 2007-03-12 16:42 1,123,696 --a------ C:WINDOWSsystem32D3DCompiler_33.dll
2008-08-16 17:20 . 2007-03-15 16:57 443,752 --a------ C:WINDOWSsystem32d3dx10_33.dll
2008-08-16 17:20 . 2007-04-04 18:55 261,480 --a------ C:WINDOWSsystem32xactengine2_7.dll
2008-08-16 17:05 . 2007-01-24 15:27 255,848 --a------ C:WINDOWSsystem32xactengine2_6.dll
2008-08-16 16:50 . 2006-11-29 13:06 3,426,072 --a------ C:WINDOWSsystem32d3dx9_32.dll
2008-08-16 16:50 . 2006-12-08 12:02 251,672 --a------ C:WINDOWSsystem32xactengine2_5.dll
2008-08-16 16:35 . 2006-09-28 16:05 2,414,360 --a------ C:WINDOWSsystem32d3dx9_31.dll
2008-08-16 16:35 . 2006-09-28 16:05 237,848 --a------ C:WINDOWSsystem32xactengine2_4.dll
2008-08-16 16:35 . 2007-03-05 12:42 15,128 --a------ C:WINDOWSsystem32x3daudio1_1.dll
2008-08-16 16:20 . 2006-07-28 09:30 236,824 --a------ C:WINDOWSsystem32xactengine2_3.dll
2008-08-16 16:20 . 2006-07-28 09:30 62,744 --a------ C:WINDOWSsystem32xinput1_2.dll
2008-08-16 15:34 . 2005-05-26 15:34 2,297,552 --a------ C:WINDOWSsystem32d3dx9_26.dll
2008-08-16 12:17 . 2008-08-16 12:19 <REP> d-------- C:Program FilesAudacity
2008-08-13 19:29 . 2008-08-15 20:16 <REP> d-------- C:Program FilesDAEMON Tools Lite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-03 18:00 699,680 --sha-w C:WINDOWSsystem32driversfidbox2.dat
2008-09-03 18:00 29,098,528 --sha-w C:WINDOWSsystem32driversfidbox.dat
2008-09-02 22:14 75,200 --sha-w C:WINDOWSsystem32driversfidbox2.idx
2008-09-02 22:14 399,056 --sha-w C:WINDOWSsystem32driversfidbox.idx
2008-09-01 22:47 --------- d-----w C:Program FilesLogiciels sécurité internet
2008-09-01 16:56 --------- d-----w C:Documents and SettingsADRIENApplication DatauTorrent
2008-08-31 17:14 93,827,885 ----a-w C:Program FilesAVP.6.411_08.31_19.14_61c.SRV.dmp
2008-08-31 17:13 --------- d-----w C:Program FilesKaspersky
2008-08-30 19:08 --------- d-----w C:Documents and SettingsAll UsersApplication DataSpybot - Search & Destroy
2008-08-28 17:57 --------- d-----w C:Documents and SettingsAll UsersApplication DataLavasoft
2008-08-25 16:35 --------- d-----w C:Documents and SettingsAll UsersApplication DataWinZip
2008-08-16 13:21 --------- d--h--w C:Program FilesInstallShield Installation Information
2008-07-23 17:41 --------- d-----w C:Program FilesGoogle
2008-07-22 20:03 --------- d-----w C:Program FilesFichiers communsAdobe
2008-07-22 19:51 --------- d-----w C:Documents and SettingsADRIENApplication DataAdobeUM
2008-07-15 16:38 --------- d-----w C:Program FilesLogiciels de Video
2004-05-26 12:17 724,992 ----a-w C:Program Files edeye.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"DAEMON Tools Lite"="C:Program FilesDAEMON Tools Litedaemon.exe" [2008-07-24 490952]
"AVP"="C:Program FilesKasperskyavp.exe" [2006-11-08 155751]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"PRONoMgr.exe"="C:Program FilesIntelNCSPROSetPRONoMgr.exe" [2003-03-11 86016]
"NeroFilterCheck"="C:WINDOWSsystem32NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="C:WINDOWSsystem32NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="C:WINDOWSsystem32NvMcTray.dll" [2007-12-05 81920]
"SunJavaUpdateSched"="C:Program FilesJavajre1.6.0_05injusched.exe" [2008-02-22 144784]
"HP Software Update"="C:Program FilesHPHP Software UpdateHPWuSchd2.exe" [2004-09-13 49152]
"nForce Tray Options"="sstray.exe" [2003-04-07 C:WINDOWSsystem32sstray.exe]
"nwiz"="nwiz.exe" [2007-12-05 C:WINDOWSsystem32
wiz.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="C:WINDOWSSystem32CTFMON.EXE" [2004-08-19 15360]

C:Documents and SettingsAll UsersMenu D,marrerProgrammesD,marrage
HP Digital Imaging Monitor.lnk - C:Program FilesHPDigital Imaginginhpqtra08.exe [2004-11-04 258048]
Lancement rapide d'Adobe Reader.lnk - C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe [2008-04-23 29696]
Microsoft Office.lnk - C:Program FilesMicrosoft OfficeOffice10OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon
otifyAS-E5N70T30NDG6]
2008-08-28 18:48 98833 C:WINDOWSsystem32AS-E5N70T30NDG6.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"C:\Program Files\Logiciels P2P\uTorrent\uTorrent.exe"=
"C:\Program Files\MSN Messenger\msnmsgr.exe"=
"C:\Program Files\MSN Messenger\livecall.exe"=

R0 iteraid;ITERAID_Service_Install;C:WINDOWSsystem32DRIVERSiteraid.sys [2003-02-20 21851]
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;C:WINDOWSsystem32DRIVERSSI3112r.sys [2003-05-30 89610]
R3 usbstor;Pilote de stockage de masse USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
R3 wdm_au8830;Pilote audio Aureal Vortex 8830 (WDM);C:WINDOWSsystem32driversadm8830.sys [2001-08-17 747392]
S3 DarkSpy;DarkSpy;C:WINDOWSsystem32DarkSpyKernel.sys [ ]
S3 usbscan;Pilote de scanneur USB;C:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]

*Newly Created Service* - CATCHME
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
O8 -: E&xporter vers Microsoft Excel - C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O16 -: Microsoft XML Parser for Java - file://C:WINDOWSJavaclassesxmldso.cab
C:WINDOWSDownloaded Program FilesMicrosoft XML Parser for Java.osd

O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E} - hxxp://www.srtest.com/srl_bin/sysreqlab3.cab
C:WINDOWSDownloaded Program FilesSysReqLab3.osd
C:WINDOWSDownloaded Program Filessysreqlab3.dll

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/ht ... oader5.cab
C:WINDOWSDownloaded Program FilesImageUploader5.inf
C:WINDOWSsystem32unicows.dll
C:WINDOWSDownloaded Program FilesImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 20:00:15
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:WINDOWSsystem32winlogon.exe
-> C:WINDOWSsystem32AS-E5N70T30NDG6.dll
.
Temps d'accomplissement: 2008-09-03 20:01:00
ComboFix-quarantined-files.txt 2008-09-03 18:00:57
ComboFix2.txt 2008-09-01 22:41:28

Pre-Run: 14,788,128,768 octets libres
Post-Run: 14,787,022,848 octets libres

165



J'en ai profité pour faire un scan avec Elibagle mais il ne m'a rien trouvé.

[r@in | b0w]

Tu as supprimé tous les fichiers vérolés ou pas?

Tu as fait la purge des points de restauration?

Fais un nouveau scan antivirus en ligne et postes le rapport.

Pour l'analyse du rapport ComboFix, je le fais dans la matinée de demain.

[Mike_bungle]

Oui j'ai supprimé tous les virus et spyware trouvés par F-secure.
Ensuite j'ai réalisé la purge des points de restauration comme indiqué.

J'ai refait un scan en ligne avec F-secure et cette fois-ci il m'a trouvé 4 espions non dangereux que j'ai viré.
J'ai pas sauvegardé le rapport désolé.

[r@in | b0w]

Ok.

J'épluche le rapport de ComboFix demain matin pour être sûr.

Quand je parlais des fichiers vérolés, je pensais aux cracks téléchargés.
Tu as fait le ménage de ce côté là, comme avec PATCH_RAR & PATCH_WINRAR?

Pour finaliser tout ceci, il faudra un scan HiJackThis dont tu posteras le rapport dans ton prochain message.

[r@in | b0w]

Bonjour.

Le rapport est correct.

J'attends un log HiJackThis pour peaufiner tout cela.

Et bien entendu, la réponse à ma question.

De plus, je te conseille fortement de désinstaller les programmes peer-to-peer comme eMule ou uTorrent s'ils ne te servent pas à récupérer des fichiers libres de droits.

Ps: tu aurais pu dire que tu étais aidé sur un autre forum de sécurité.

Tu as désinstallé AVG Antispyware comme demandé par Winx?

[Mike_bungle]

Oui je les ai aussi viré les 2 crack.
Par contre je ne peux pas faire de scan avec HijackThis puisque celui-ci se ferme dès son lancement.
Même en le renommant ça ne fonctionne pas.

Oui j'ai installé AVG Anti-spyware et ce logiciel fonctionne. Il m'avait trouvé quelques espions il y a de ça une semaine...il faudrait que je refasse un scan avec.

PS: désolé je ne pensais pas que cela soit important le fait d'avoir posté le même sujet sur un autre forum...mais comme ça n'avançait pas je suis venu posté ici.

[r@in | b0w]

Alors dans l'ordre:

_ bien pour la suppression des cracks;

_ tu as installé AVG mais il y a aussi Spybot et ces deux logiciels font double emploi.
Désinstalles-en un des deux;

_ pas grave mais cela n'a pas stagné sur l'autre forum, il attend un rapport de ta part.

Sinon, je commence à sécher cause pas assez d'informations sur la menace en question.

Etant donné qu'EliBagla ne trouve pas de Bagle, que F-Secure ne trouve rien et que ComboFix n'a rien trouvé non plus, je me pose des questions!

On va tenter deux choses:

1_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

2_ Tu télécharges DiagHelp sur le Bureau.

Tu fais un clic-droit sur le fichier puis tu cliques sur Extraire ici.

Un nouveau dossier DiagHelp apparaitra.
Tu l'ouvres puis cliques sur go.cmd ou go.

Une fenêtre s'ouvre avec quatre options disponibles.

Tu appuies sur la touche [1] puis sur [Entrée].
Après lecture du message d'avertissement, tu appuies sur n'importe quelle touche pour lancer l'analyse.

Le scan débutera dans la fenêtre qui sera alors rouge.

Lorsque les lignes hidden service & hidden files apparaîssent, tu appuies sur la touche [Entrée] pour continuer l'analyse.

Si l'utilitaire te demande d'envoyer un fichier, tu exécutes les consignes.

A la fin de l'analyse, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:Documents And SettingsNom_d_UtilisateurBureauResultat.txt et tu nous le colles dans ton prochain message en stipulant bien quelle option a été utilisé.
Tu en profites pour renommer le rapport en Resultat1.txt.

Tu relances ensuite le programme et tu sélectionnes l'option [2].

A la fin de l'analyse, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:Documents And SettingsNom_d_UtilisateurBureauResultat.txt et tu nous le colles dans ton prochain message en stipulant bien quelle option a été utilisé.
Tu en profites pour renommer le rapport en Resultat2.txt.

Dernière option, tu relances le programme et appuies sur la touche [3].

A la fin de l'analyse, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:Documents And SettingsNom_d_UtilisateurBureauResultat.txt et tu nous le colles dans ton prochain message en stipulant bien quelle option a été utilisé.
Tu en profites pour renommer le rapport en Resultat3.txt.