Il y a actuellement 314 visiteurs
Jeudi 28 Mars 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

A l'aide ! Infecté par un Win32 Bagle je pense...

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

A l'aide ! Infecté par un Win32 Bagle je pense...

Message le 22 Jan 2010 19:22

Bonjour,

je sais bien que y'a d'autres topics à ce sujet, mais comme les virus mutent tous les jours, je préfère mettre toutes les chances de mon côté...
je suis sous Windows XP et je crois que j'ai été infecté par un Win32/Bagle : après avoir cliqué sur un crack téléchargé en P2P, mon Avast a brusquement disparu, mon pilote son Realtek 97 aussi et depuis plus moyen d'ouvrir des antispyware, antimalware, antivirus d'aucune sorte...

Je viens de scanner mon disque avec Findykill, voici mon rapport, je vous en supplie, j'ai pas les moyen d'aller faire désinfecter mon PC chez un pro et mon ordi est mon outil de travail :


############################## | FindyKill V5.027 |

# User : Meek (Administrateurs) # MEEK-D73739F014
# Update on 21/01/2010 by El Desaparecido
# Start at: 15:56:18 | 22/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 2.60GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Ashampoo Anti-Malware 1.0.0.0 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 55,88 Go (12,65 Go free) # NTFS
# D:\ # Disque CD-ROM # 3,06 Go (0 Mo free) [PHILIPS_DVD_VR] # UDF

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Wireless 11Mbps Network\XPFix.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Meek\Application Data\drivers\winupgro.exe
C:\Program Files\Micro Application\LauncherMA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ashampoo\Ashampoo Anti-Malware\AAMW_Service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Capturino 1.4\Capturino.exe
C:\WINDOWS\wintems.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

############################## | Processus infectieux stoppés |

"C:\Documents and Settings\Meek\Application Data\drivers\winupgro.exe" (376)
"C:\WINDOWS\wintems.exe" (2200)

################## | C: |


################## | C:\WINDOWS |

C:\WINDOWS\ban_list.txt
C:\WINDOWS\mdelk.exe
C:\WINDOWS\wintems.exe

################## | C:\WINDOWS\Prefetch |

C:\WINDOWS\Prefetch\14954421.EXE-2B7DF827.pf
C:\WINDOWS\Prefetch\215812.EXE-101E5A94.pf
C:\WINDOWS\Prefetch\225328.EXE-3784EF07.pf
C:\WINDOWS\Prefetch\29891437.EXE-383E3F93.pf
C:\WINDOWS\Prefetch\29909687.EXE-29DE89AE.pf
C:\WINDOWS\Prefetch\44280265.EXE-1FF04F22.pf
C:\WINDOWS\Prefetch\44290843.EXE-01A1D2A0.pf
C:\WINDOWS\Prefetch\58987890.EXE-2488A77F.pf
C:\WINDOWS\Prefetch\59301968.EXE-01B5BED9.pf
C:\WINDOWS\Prefetch\59314890.EXE-21A26C89.pf
C:\WINDOWS\Prefetch\74046250.EXE-3518E405.pf
C:\WINDOWS\Prefetch\74052656.EXE-205DF194.pf
C:\WINDOWS\Prefetch\MDELK.EXE-087EF2B4.pf
C:\WINDOWS\Prefetch\WINTEMS.EXE-127B61D4.pf

################## | C:\WINDOWS\system32 |

C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\WINDOWS\system32\wintems.exe

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Meek\Application Data |

C:\Documents and Settings\Meek\Application Data\drivers
C:\Documents and Settings\Meek\Application Data\drivers\downld
C:\Documents and Settings\Meek\Application Data\drivers\winupgro.exe

################## | Temporary Internet Files |


################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\WS35]
[HKCU\Software\WS4001]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1202660629-1801674531-681221662-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1202660629-1801674531-681221662-1003\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1202660629-1801674531-681221662-1003\Software\bisoft]
[HKU\S-1-5-21-1202660629-1801674531-681221662-1003\Software\DateTime4]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1202660629-1801674531-681221662-1003\Software\Local AppWizard-Generated Applications\winupgro]

################## | Crack > Keygen > Serial |


################## | Etat |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.027 ! |

Configuration: Windows XP
Firefox 3.5.3
MeeK
Visiteur
Visiteur
 
Messages: 3
Inscription: 22 Jan 2010 19:18
 


Re: A l'aide ! Infecté par un Win32 Bagle je pense...

Message le 22 Jan 2010 20:41

Bonsoir

En premier supprimes le CRACK qui est en cause.

Double cliquer sur le raccourci FindyKill sur le bureau : Image

Au menu principal, choisir l'option 2 (Suppression)

Poste se second rapport ici :


Ensuite ceci.

Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: A l'aide ! Infecté par un Win32 Bagle je pense...

Message le 22 Jan 2010 23:59

Je viens de faire le programme de suppression de Frendykill. En voici le rapport donc, est-il bon ??...

Et est-il vraiment nécessaire de faire la phase ComboFix ?... (Le fait est que ma version de Windows XP ne me semble pas des plus authentiques, c'est un PC que j'ai acheté d'occase l'année dernière d'urgence...) CombuFix peut-il opérer dans ce cas ?...

Merci mille fois de me dire si mon rapport de suppression FrendyKill est bon ou si tu penses que je'ai encore des merdes...
Tu me sauves la vie... ça fait un bien fou de voir qu'il existe une solidarité dans vos forums...
MeeK
Visiteur
Visiteur
 
Messages: 3
Inscription: 22 Jan 2010 19:18
 

Re: A l'aide ! Infecté par un Win32 Bagle je pense...

Message le 23 Jan 2010 00:42

Voilà !! J'ai fait l'opération Combofix !...

En voici le rapport... Qu'en pensez-vous Doc ??...

ComboFix 10-01-21.08 - Meek 23/01/2010 0:21.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.486 [GMT 1:00]
Lancé depuis: c:\documents and settings\Meek\Bureau\ComboFix.exe
AV: Ashampoo Anti-Malware *On-access scanning disabled* (Updated) {87430BA8-187A-42D6-A8FE-8E00DF291089}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Meek\Application Data\drivers\downld
C:\LOG.TXT
c:\program files\AntiSpywareMaster
c:\program files\Search Guard PlusU
c:\program files\Search Guard PlusU\SGPU.ico
c:\program files\Search Guard PlusU\sgpUpdater.exe
c:\program files\Search Guard PlusU\sgpUpdater.xml
c:\program files\Search Guard PlusU\sgpUpdaters.exe
c:\program files\Search Guard PlusU\uninstalSGPU.exe
C:\System
c:\windows\BM2f83d182.txt
c:\windows\BM2f83d182.xml
c:\windows\cookies.ini
c:\windows\EventSystem.log
c:\windows\pskt.ini
c:\windows\system32\fislxebl.ini
c:\windows\system32\Ijl11.dll
c:\windows\system32\itmsmgva.ini
c:\windows\system32\mcrh.tmp
c:\windows\system32\nbqbetmk.ini
c:\windows\system32\QAKkmnmp.ini
c:\windows\system32\QAKkmnmp.ini2
c:\windows\system32\twain_32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-22 au 2010-01-22 ))))))))))))))))))))))))))))))))))))
.

2010-01-22 22:42 . 2010-01-22 23:31 -------- d--h--w- c:\documents and settings\Meek\Application Data\drivers
2010-01-22 22:41 . 2010-01-17 21:41 74240 -c--a-w- c:\windows\system32\dllcache\sysinfo.exe.REN
2010-01-22 22:41 . 2010-01-17 21:41 15360 -c--a-w- c:\windows\system32\dllcache\register.exe.REN
2010-01-22 14:55 . 2010-01-22 22:41 -------- d-----w- C:\FyK
2010-01-19 17:58 . 2010-01-19 17:58 -------- d-----w- c:\program files\Realtek AC97
2010-01-19 17:58 . 2006-07-31 10:27 217088 ----a-w- c:\windows\alcrmv.exe
2010-01-19 17:58 . 2006-07-31 10:19 315392 ----a-w- c:\windows\alcupd.exe
2010-01-19 17:42 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2010-01-19 17:42 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-01-19 17:41 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2010-01-17 23:51 . 2010-01-17 23:51 -------- d-----w- c:\program files\Realtek
2010-01-17 23:51 . 2009-11-24 16:40 838176 ----a-w- c:\windows\RtlExUpd.dll
2010-01-17 18:16 . 2006-08-01 14:02 49152 ----a-w- c:\windows\system32\ChCfg.exe
2010-01-17 18:15 . 2008-09-24 09:40 4122368 ----a-r- c:\windows\system32\drivers\alcxwdm.sys
2010-01-17 18:14 . 2006-12-08 14:20 10528768 ----a-w- c:\windows\system32\RTLCPL.exe
2010-01-17 18:14 . 2007-04-16 14:28 577536 ----a-w- c:\windows\soundman.exe
2010-01-17 18:14 . 2006-10-18 01:53 147456 ----a-w- c:\windows\system32\RtlCPAPI.dll
2010-01-14 03:08 . 2010-01-14 03:08 -------- d-----w- c:\documents and settings\Meek\Local Settings\Application Data\Help
2010-01-14 03:08 . 2010-01-14 03:08 -------- d-----w- c:\program files\EnrSouris
2010-01-14 02:55 . 2010-01-22 22:43 -------- d-----w- c:\documents and settings\Meek\Local Settings\Application Data\Ashampoo
2010-01-13 23:51 . 2010-01-20 18:31 -------- d-----w- c:\program files\Ashampoo
2010-01-13 23:32 . 2010-01-17 17:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-01-13 22:35 . 2010-01-13 22:35 -------- d-----w- c:\documents and settings\Meek\Local Settings\Application Data\MMDESOFT
2010-01-13 22:35 . 2010-01-13 23:03 -------- d-----w- c:\program files\Macro MD
2010-01-13 22:05 . 2010-01-13 22:05 -------- d-----w- c:\program files\Super macro
2010-01-13 21:55 . 2010-01-13 21:55 766 ----a-r- c:\documents and settings\Meek\Application Data\Microsoft\Installer\{67DD11CB-7C27-4072-B970-B57755294B28}\_C3160024059FB0EDCFC673.exe
2010-01-13 21:55 . 2010-01-13 21:55 766 ----a-r- c:\documents and settings\Meek\Application Data\Microsoft\Installer\{67DD11CB-7C27-4072-B970-B57755294B28}\_6FEFF9B68218417F98F549.exe
2010-01-13 21:24 . 2010-01-13 21:24 -------- d-----w- c:\documents and settings\Meek\Application Data\Grasssoft
2010-01-13 21:24 . 2010-01-13 21:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Grasssoft
2010-01-13 21:24 . 2010-01-13 21:24 -------- d-----w- c:\program files\GrassSoft
2010-01-13 21:16 . 2010-01-13 21:16 109440 ----a-w- c:\windows\system32\drivers\KbdCap.sys
2010-01-13 21:15 . 2010-01-13 21:58 -------- d-----w- c:\program files\AutoMacroRecorder
2010-01-13 02:39 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-12 23:45 . 2010-01-13 21:59 -------- d-----w- c:\program files\AutoHotkey
2010-01-10 21:32 . 2010-01-10 21:32 -------- d-----w- c:\documents and settings\All Users\Application Data\ESTsoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 22:43 . 2002-08-30 12:00 81054 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-22 22:43 . 2002-08-30 12:00 501052 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-19 18:32 . 2008-09-24 23:34 -------- d-----w- c:\program files\NCH Swift Sound
2010-01-19 18:32 . 2008-09-24 23:34 -------- d-----w- c:\documents and settings\Meek\Application Data\NCH Swift Sound
2010-01-17 23:51 . 2008-02-21 20:51 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-17 21:50 . 2008-05-14 12:27 -------- d-----w- c:\program files\BitTorrent Fastest Tool
2010-01-17 18:10 . 2008-02-27 12:24 -------- d-----w- c:\program files\eMule
2010-01-17 17:45 . 2008-07-07 17:11 -------- d-----w- c:\program files\Bonjour
2010-01-10 21:35 . 2008-08-23 21:55 -------- d-----w- c:\documents and settings\Meek\Application Data\ESTsoft
2010-01-02 00:38 . 2008-06-22 16:32 -------- d-----w- c:\program files\FriendBlasterPro
2009-12-11 17:53 . 2008-07-02 08:15 -------- d-----w- c:\program files\Windows Live
2009-11-24 04:48 . 2009-11-17 20:45 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-11-21 15:58 . 2004-08-19 14:09 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-19 14:36 . 2009-11-19 14:36 1925024 -c--a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
2009-11-15 13:53 . 2009-11-08 14:07 1924440 -c--a-w- c:\documents and settings\Meek\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2009-11-11 21:15 . 2009-11-03 21:29 152576 -c--a-w- c:\documents and settings\Meek\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-11 21:14 . 2009-11-11 21:14 79488 -c--a-w- c:\documents and settings\Meek\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-10-29 07:42 . 2004-08-19 14:09 916480 ----a-w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2006-05-13 839168]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-24 335872]
"Alice"="c:\program files\Wireless 11Mbps Network\XPFix.exe" [2003-01-20 131072]
"PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe" [2004-07-06 81920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-09-08 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2010-01-21 81000]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"Ashampoo Anti-Malware Guard"="c:\program files\Ashampoo\Ashampoo Anti-Malware\AAMW_Guard.exe" [2010-01-20 3568984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Meek\Menu D‚marrer\Programmes\D‚marrage\
Lanceur.lnk - c:\program files\Micro Application\LauncherMA.exe [2009-2-10 485376]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-6-21 110592]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R2 AAMWService;Ashampoo Anti-Malware Service;c:\program files\Ashampoo\Ashampoo Anti-Malware\AAMW_Service.exe [20/01/2010 19:31 1489752]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [14/04/2009 22:50 54752]
R3 AAMWRegFilter;AAMWRegFilter;c:\program files\Ashampoo\Ashampoo Anti-Malware\AAMW_Regfilter32.sys [20/01/2010 19:31 18584]
R3 ASW3Scan;ASW3Scan;c:\program files\Ashampoo\Ashampoo Anti-Malware\AAMW_IFS32.sys [20/01/2010 19:31 17816]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [21/02/2008 22:01 186095]
R3 kbdcap;kbdcap;c:\windows\system32\drivers\KbdCap.sys [13/01/2010 22:16 109440]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [21/02/2008 22:01 5689]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 MPCSYS;MPCSYS;c:\windows\system32\drivers\mpcsys.SYS [15/10/2008 00:11 15360]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - AAMWREGFILTER
*NewlyCreated* - ASW3SCAN
*NewlyCreated* - PCANDIS5
.
Contenu du dossier 'Tâches planifiées'

2010-01-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-01-22 c:\windows\Tasks\User_Feed_Synchronization-{CC8681C0-7B66-46E3-8524-DD84B003CD75}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]

2010-01-22 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-28 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.facebook.com/stephanefranckpascalakameek
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\documents and settings\Meek\Application Data\Mozilla\Firefox\Profiles\8cogef7p.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/stephanefranckpascalakameek
FF - prefs.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&o ... wsv9YdY&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----

FF - user.js: keyword.URL - hxxp://www.sicto.com/search/?ie=UTF-8&o ... wsv9YdY&q=
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
BHO-{272E2F3B-2786-4E92-98AA-8149640A9F8E} - c:\windows\system32\pmnmkKAQ.dll
BHO-{F3AEF888-A3E2-44EB-BD85-F0C85BA7673F} - (no file)
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
WebBrowser-{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - (no file)
HKCU-Run-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe
ShellExecuteHooks-{F3AEF888-A3E2-44EB-BD85-F0C85BA7673F} - (no file)
Notify-hgGVnMeC - hgGVnMeC.dll
Notify-WgaLogon - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 00:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1202660629-1801674531-681221662-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{16D9121B-5D24-6D4C-F7F7-DF4429AE59B1}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"napiidkamanmbkffccngiefbdgml"=hex:6b,61,63,64,64,70,67,6a,62,61,6e,6b,62,6f,
6e,6e,65,61,6c,6e,6c,66,00,00
"majjofmbhlninbbkehpingdmnd"=hex:6a,61,63,64,6e,6f,61,6c,64,66,6c,6d,6d,6a,68,
64,66,64,66,6b,00,00
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2180)
c:\program files\CyberLink\Shared Files\CLRCEngine.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\SOUNDMAN.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-01-23 00:39:57 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-22 23:39

Avant-CF: 13 097 848 832 octets libres
Après-CF: 16 014 077 952 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - C87F9B396386BF662EEF2E58F6AD2AF3
MeeK
Visiteur
Visiteur
 
Messages: 3
Inscription: 22 Jan 2010 19:18
 

Re: A l'aide ! Infecté par un Win32 Bagle je pense...

Message le 23 Jan 2010 10:16

OK ceci a suivre s.t.p


Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :
fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0



Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :
File::
c:\documents and settings\Meek\Application Data\drivers

Folder::
c:\program files\BitTorrent Fastest Tool
c:\documents and settings\Meek\Application Data\drivers






Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Image


Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite ceci.



Télécharger LopS&D.exe sur ton Bureau
Tuto

• Double-clique dessus pour lancer l'installation

• Puis double-clique sur le raccourci Lop S&D présent sur ton bureau Image

• Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche)

• Patiente jusqu'à la fin du scan

• Poste le rapport généré (C:\lopR.txt)
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 



Sujets similaires

Message Aide suite à une analyse FRST contre un virus vbc.exe
Bonjour tout le monde, J'ai récemment constaté que j'étais infecté par un virus lié à vbc.exe, ce qui entraîne une utilisation du CPU allant jusqu'à 30% voire 40%. J'ai donc effectué mes analyses FRST et voici les rapports obtenus : - FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20240315_ ...
Réponses: 3

Message : besoin d'aide pour un pc portable à 500 euros
Bonjour à tous, J'ai besoin d'un sacré coup de main et de vos compétences. Voilà, j'ai un ami de mon fils avec ses frères et s?urs. Ils vont casser leur tirelire pour acheter un PC portable à leur s?ur pour son anniversaire . Elle va avoir 17 ans car leurs parents ne peuvent pas se le permettre . ...
Réponses: 3

Message Aide pc portable
Bonjour,Je souhaiterai faire plaisir à ma femme et lui acheter un pc portable qui ferait tourner world of warcraft en haute qualité (élevé ou ultra sans lag). J?ai fait un peu le tour sur le forum pour pas faire de doublon mais je n?ai rien trouvé. J?ai un petit budget max 700 euros avec un écran au ...
Réponses: 5

Message [réglé] aide pour achat imprimante compatible chromebook
Bonjour à tous, j'ai besoin d'acheter une imprimante laser n/b et couleur compatible Chromebook (un acer)Quelqu'un pourrait-il m'aider car je ne trouve rien par les moteurs de recherche. Les réponses données ne sont pas compatibles.Un grand merci pour votre aide
Réponses: 6

Message Aide achat PC Portable
Bonjour Je viens sur le forum car j'envisage de changer de PC Portable et j'ai besoin d'aide !! Mon PC actuel : PC Portable ASUS R415UA-EB035T - 14" FHD sur lequel je suis passé de 8Go de mémoire vive à 16Go de mémoire vive Mon budget : 800 euros max Mon utilisation : internet et Word et lectur ...
Réponses: 9

Message [Réglé] Aide nettoyage pc
Bonjour, mon pc rame et j'aimerais avoir votre aide pour déjà vérifier si il n'est pas infecté
Réponses: 12

Message [Réglé] Aide pour analyse fichier FRST
Bonsoir,J'ai une fenêtre Powershell.exe qui s'ouvre et se ferme quelques minutes après le démarrage et ca n'était pas le cas avant.Mise à jour windows et mise à jour Nvidia récente.J'ai effectué une analyse et j'ai obtenu les fichiers texte suivants.Est ce que quelqu'un peut m'aider et me dire de qu ...
Réponses: 7


Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot] et 11 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.