Il y a actuellement 575 visiteurs
Lundi 23 Décembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Virus win32.Bagle ??

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

Message le 02 Sep 2008 21:40

Bonjour,

J'ai un problème similaire à .: Celui-ci :.depuis hier sur mon PC.

Je n'arrive plus à faire fonctionner la plupart de mes anti-spyware (spyb.t, HijackT..s...), dès leur lancement ceux-ci se ferment tout seul. J'ai essayé de réinstaller spyb.t mais c'est pareil, la page d'installation se ferme tout de suite.

Dès que je tape les mots "spyb.t", "antivir.s" ou que j'essaie de faire un scan online mes pages internet se ferment.

J'ai fait un scan avec les logiciels qui marchent, Kasper..y, Ad-aware et AVG anti-spyw..e mais ça ne trouve rien de particulier.

J'ai redemarré en mode sans echec mais c'est pareil, mes logiciels ne fonctionnent pas !
J'ai utilisé le programme SDFix en mode sans echec, ça m'a trouvé quelques trucs qui ont été virés, j'ai redemarré mais j'ai toujours le problème.

J'ai fais un scan avec ComboFix mais ça ne change rien.

J'ai fais des scans en mode normal et en mode sans echec avec Elibagla mais il ne m'a rien trouvé. Même en désactivant mon anti-virus (Kaspersky)

J'ai tenté HijackT..s mais il ne se lance pas ni même en le renommant.

Je commence à desespérer là...quelqu'un à une idée ??
Mike_bungle
Visiteur
Visiteur
 
Messages: 8
Inscription: 02 Sep 2008 21:31
 


Message le 02 Sep 2008 21:57

Bonjour & bienvenue,

Le sujet de référence ayant été résolu, il était préférable de réouvrir un nouveau topic.
En y mentionnant le renvoi au sujet auquel tu te réfère, c'est maintenant fait.

Messieurs les "Nettoyeurs" le topic est à vous, bonne chasse!!
Avatar de l'utilisateur
Ask to Old Man
Moderateur
Moderateur
 
Messages: 19970
Inscription: 14 Mar 2004 10:06
Localisation: Argenteuil,Val d'Oise
 

Message le 02 Sep 2008 22:50

Bonsoir,

Bagle est apparemment un virus assez coriace, mais cette manipulation en vient à bout.

Bon courage, et n'hésite pas à poser des questions en cas de problème !
Avatar de l'utilisateur
H3bus
Moderateur
Moderateur
 
Messages: 12195
Inscription: 08 Avr 2008 15:13
Localisation: /home/h3bus
 

Message le 03 Sep 2008 07:25

Bonjour.

Il faut utiliser EliBagla pour enlever Bagle.

Tu télécharges Elibagla en bas de cette page en cliquant sur le cadre nommé Descargar Elibagla xx,xx.

Avant d'utiliser l'application, tu la renommes.
Pour cela, tu fais un clic droit sur l'icône puis tu cliques sur Renommer et tu nommes l'utilitaire Eli puis tu appuies sur la touche [Entrée].

Tu double-cliques ensuite sur l'icône pour lancer l'application.

Dans le cadre Unidad, sélectionnes la partition contenant ton système d'exploitation si ce n'est pas C: par défaut.
Coches aussi la ligne Eliminar Ficheros Automaticamente si elle n'est pas cochée.

Tu passes ensuite au nettoyage en cliquant sur Explorar.

Tu nous postes ensuite le rapport d'analyse dans ton prochain message.

Important: il ne faut pas tenter de redémarrer en Mode sans échec en utilisant msconfig car Bagle provoquerait un redémarrage infini.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 03 Sep 2008 09:27

J'ai déjà fait des scans avec Elibagla (sans le renommer) mais il ne me trouve rien.

Je veux bien tenter en le renommant...
Mike_bungle
Visiteur
Visiteur
 
Messages: 8
Inscription: 02 Sep 2008 21:31
 

Message le 03 Sep 2008 09:31

Disons que pour vérifier encore une fois cette théorie, tu supprimes EliBagla de ta machine puis tu le télécharges à nouveau et avant de l'utiliser, tu le renommes.

Idem pour HiJackThis, il faut le renommer avant de l'utiliser sinon il sera reconnu par Bagle.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 03 Sep 2008 16:50

j'ai retélechargé Elibagla en le renommant puis lancé un scan:

Wed Sep 03 17:42:16 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Wed Sep 03 17:42:35 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 2980
Nº Total de Ficheros: 44522
Nº de Ficheros Analizados: 8756
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Rien de trouvé ! Par contre HijacT..s je peux pas le télécharger car les pages se ferment direct en voyant ce nom.

Par contre j'ai fais un scan en ligne avec F-secure et ça m'a trouvé et viré quelques trucs:
Client-IRC.Win32.mIRC (spyware)
System

Suspicious_F.gen (virus)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_RAR.EXE (Submitted)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_WINRAR.EXE (Submitted)

TrackingCookie.Xiti (spyware)
System

Trojan.Win32.Zapchast (virus)
System

Worm.Win32.AutoRun (virus)
System
Worm.Win32.AutoRun.enb (virus)
C:WINDOWSSYSTEM32CFBFAEEDEF.DLL


Mais mon problème n'a pas disparu... :x
Mike_bungle
Visiteur
Visiteur
 
Messages: 8
Inscription: 02 Sep 2008 21:31
 

Message le 03 Sep 2008 17:52

Au risque de le rappeler, Bagle s'attrape avec des cracks vérolés téléchargés sur le net.

Et quand je vois:

Mike_bungle a écrit:Suspicious_F.gen (virus)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_RAR.EXE (Submitted)
C:PROGRAM FILESLOGICIELS COMPACTECRACKWINRARPATCH_WINRAR.EXE (Submitted)


Il ne faut pas chercher plus loin.

Avant de faire quoi que ce soit, tu supprimes tous les cracks présents sur ta machine.
Il faut supprimer la source d'infection avant de faire le ménage!

Si tu ne le fais pas, tu pourras passer tous les utilitaires que tu veux.
A chaque lancement d'un fichier vérolé, l'infection reviendra.

Tu as (ou avais si F-Secure a fait les suppressions et que tu n'as pas relancé les infections) dans le désordre trois trojans, un spyware et peut-être encore ton fameux Bagle.

Bref, voilà pour toi:

1_ Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

2_ Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner
d:i386winnt32.exe /cmdcons


La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:

Image

Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Laisse-le faire au risque sinon de faire planter le programme et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner
Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt


Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 03 Sep 2008 19:06

Donc j'ai fait exactement comme tu m'as dis en suivant la procédure donnée et voici mon scan ComboFix:

ComboFix 08-09-01.05 - ADRIEN 2008-09-03 19:58:38.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.650 [GMT 2:00]
Endroit: C:Documents and SettingsADRIENBureauComboFi.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:InfoSat.txt

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-03 to 2008-09-03 ))))))))))))))))))))))))))))))))))))
.

2008-09-03 19:53 . 2008-09-03 19:53 <REP> d-------- C:ComboF
2008-09-03 19:41 . 2008-09-03 19:46 <REP> d-------- C:Combo
2008-09-03 00:00 . 2008-09-03 00:00 6,057 --a------ C:F-Secure Online Scanner 3_3_1 - Scanning Report - Wednesday, September 03, 2008 000006.htm
2008-09-02 00:47 . 2008-09-03 00:14 <REP> d-a------ C:Documents and SettingsAll UsersApplication DataTEMP
2008-09-02 00:47 . 2008-09-02 00:47 <REP> d-------- C:Documents and SettingsADRIENApplication DataPC Tools
2008-09-02 00:47 . 2008-08-25 11:36 81,288 --a------ C:WINDOWSsystem32driversiksyssec.sys
2008-09-02 00:47 . 2008-08-25 11:36 66,952 --a------ C:WINDOWSsystem32driversiksysflt.sys
2008-09-02 00:47 . 2008-08-25 11:36 40,840 --a------ C:WINDOWSsystem32driversikfilesec.sys
2008-09-02 00:47 . 2008-06-02 15:19 29,576 --a------ C:WINDOWSsystem32driverskcom.sys
2008-09-01 19:31 . 2004-08-20 01:11 4,190,352 --a--c--- C:WINDOWSsystem32dllcacheluna.mst
2008-08-30 16:50 . 2008-09-03 17:41 <REP> d-------- C:HijackThis
2008-08-30 16:46 . 2008-09-03 19:48 250 --a------ C:WINDOWSgmer.ini
2008-08-30 16:31 . 2008-08-30 16:31 <REP> d-------- C:Documents and SettingsAll UsersApplication DataGrisoft
2008-08-30 16:31 . 2008-08-30 16:31 <REP> d-------- C:Documents and SettingsADRIENApplication DataGrisoft
2008-08-30 16:31 . 2007-05-30 14:10 10,872 --a------ C:WINDOWSsystem32driversAvgAsCln.sys
2008-08-30 16:25 . 2008-08-30 16:25 <REP> d-------- C:Program FilesLSPFix
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d--h----- C:Documents and SettingsAdministrateurVoisinage réseau
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d--h----- C:Documents and SettingsAdministrateurVoisinage d'impression
2008-08-30 15:13 . 2008-04-21 22:04 <REP> d--h----- C:Documents and SettingsAdministrateurModèles
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d-------- C:Documents and SettingsAdministrateurMes documents
2008-08-30 15:13 . 2008-04-21 22:45 <REP> dr------- C:Documents and SettingsAdministrateurMenu Démarrer
2008-08-30 15:13 . 2008-08-30 15:26 <REP> d-------- C:Documents and SettingsAdministrateurFavoris
2008-08-30 15:13 . 2008-04-21 22:45 <REP> d-------- C:Documents and SettingsAdministrateurBureau
2008-08-30 15:13 . 2008-08-30 15:20 <REP> d-------- C:Documents and SettingsAdministrateur
2008-08-29 21:41 . 2008-08-29 21:41 <REP> d-------- C:Documents and SettingsAll UsersApplication DataKaspersky Lab Setup Files
2008-08-29 20:57 . 2008-08-29 20:57 578,048 --a--c--- C:WINDOWSsystem32dllcacheuser32.dll
2008-08-29 20:55 . 2008-08-29 20:55 <REP> d-------- C:WINDOWSERUNT
2008-08-28 19:58 . 2008-08-28 19:58 <REP> d-------- C:Program FilesFichiers communsWise Installation Wizard
2008-08-28 18:48 . 2008-08-28 18:48 98,833 --------- C:WINDOWSsystem32AS-E5N70T30NDG6.dll
2008-08-25 18:24 . 2008-08-25 18:27 <REP> d-------- C:Program FilesMP3Gain
2008-08-19 19:43 . 2008-08-19 19:43 <REP> d-------- C:Program FilesFichiers communsDirectX
2008-08-19 19:41 . 2008-08-19 19:41 107,888 --a------ C:WINDOWSsystem32CmdLineExt.dll
2008-08-19 00:09 . 2008-08-19 00:09 244 --ah----- C:sqmnoopt09.sqm
2008-08-19 00:09 . 2008-08-19 00:09 232 --ah----- C:sqmdata09.sqm
2008-08-18 20:55 . 2008-08-18 20:55 244 --ah----- C:sqmnoopt08.sqm
2008-08-18 20:55 . 2008-08-18 20:55 232 --ah----- C:sqmdata08.sqm
2008-08-16 19:23 . 2008-08-16 19:23 244 --ah----- C:sqmnoopt07.sqm
2008-08-16 19:23 . 2008-08-16 19:23 232 --ah----- C:sqmdata07.sqm
2008-08-16 17:20 . 2007-03-12 16:42 3,495,784 --a------ C:WINDOWSsystem32d3dx9_33.dll
2008-08-16 17:20 . 2007-03-12 16:42 1,123,696 --a------ C:WINDOWSsystem32D3DCompiler_33.dll
2008-08-16 17:20 . 2007-03-15 16:57 443,752 --a------ C:WINDOWSsystem32d3dx10_33.dll
2008-08-16 17:20 . 2007-04-04 18:55 261,480 --a------ C:WINDOWSsystem32xactengine2_7.dll
2008-08-16 17:05 . 2007-01-24 15:27 255,848 --a------ C:WINDOWSsystem32xactengine2_6.dll
2008-08-16 16:50 . 2006-11-29 13:06 3,426,072 --a------ C:WINDOWSsystem32d3dx9_32.dll
2008-08-16 16:50 . 2006-12-08 12:02 251,672 --a------ C:WINDOWSsystem32xactengine2_5.dll
2008-08-16 16:35 . 2006-09-28 16:05 2,414,360 --a------ C:WINDOWSsystem32d3dx9_31.dll
2008-08-16 16:35 . 2006-09-28 16:05 237,848 --a------ C:WINDOWSsystem32xactengine2_4.dll
2008-08-16 16:35 . 2007-03-05 12:42 15,128 --a------ C:WINDOWSsystem32x3daudio1_1.dll
2008-08-16 16:20 . 2006-07-28 09:30 236,824 --a------ C:WINDOWSsystem32xactengine2_3.dll
2008-08-16 16:20 . 2006-07-28 09:30 62,744 --a------ C:WINDOWSsystem32xinput1_2.dll
2008-08-16 15:34 . 2005-05-26 15:34 2,297,552 --a------ C:WINDOWSsystem32d3dx9_26.dll
2008-08-16 12:17 . 2008-08-16 12:19 <REP> d-------- C:Program FilesAudacity
2008-08-13 19:29 . 2008-08-15 20:16 <REP> d-------- C:Program FilesDAEMON Tools Lite

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-03 18:00 699,680 --sha-w C:WINDOWSsystem32driversfidbox2.dat
2008-09-03 18:00 29,098,528 --sha-w C:WINDOWSsystem32driversfidbox.dat
2008-09-02 22:14 75,200 --sha-w C:WINDOWSsystem32driversfidbox2.idx
2008-09-02 22:14 399,056 --sha-w C:WINDOWSsystem32driversfidbox.idx
2008-09-01 22:47 --------- d-----w C:Program FilesLogiciels sécurité internet
2008-09-01 16:56 --------- d-----w C:Documents and SettingsADRIENApplication DatauTorrent
2008-08-31 17:14 93,827,885 ----a-w C:Program FilesAVP.6.411_08.31_19.14_61c.SRV.dmp
2008-08-31 17:13 --------- d-----w C:Program FilesKaspersky
2008-08-30 19:08 --------- d-----w C:Documents and SettingsAll UsersApplication DataSpybot - Search & Destroy
2008-08-28 17:57 --------- d-----w C:Documents and SettingsAll UsersApplication DataLavasoft
2008-08-25 16:35 --------- d-----w C:Documents and SettingsAll UsersApplication DataWinZip
2008-08-16 13:21 --------- d--h--w C:Program FilesInstallShield Installation Information
2008-07-23 17:41 --------- d-----w C:Program FilesGoogle
2008-07-22 20:03 --------- d-----w C:Program FilesFichiers communsAdobe
2008-07-22 19:51 --------- d-----w C:Documents and SettingsADRIENApplication DataAdobeUM
2008-07-15 16:38 --------- d-----w C:Program FilesLogiciels de Video
2004-05-26 12:17 724,992 ----a-w C:Program Files edeye.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"DAEMON Tools Lite"="C:Program FilesDAEMON Tools Litedaemon.exe" [2008-07-24 490952]
"AVP"="C:Program FilesKasperskyavp.exe" [2006-11-08 155751]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"PRONoMgr.exe"="C:Program FilesIntelNCSPROSetPRONoMgr.exe" [2003-03-11 86016]
"NeroFilterCheck"="C:WINDOWSsystem32NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="C:WINDOWSsystem32NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="C:WINDOWSsystem32NvMcTray.dll" [2007-12-05 81920]
"SunJavaUpdateSched"="C:Program FilesJavajre1.6.0_05injusched.exe" [2008-02-22 144784]
"HP Software Update"="C:Program FilesHPHP Software UpdateHPWuSchd2.exe" [2004-09-13 49152]
"nForce Tray Options"="sstray.exe" [2003-04-07 C:WINDOWSsystem32sstray.exe]
"nwiz"="nwiz.exe" [2007-12-05 C:WINDOWSsystem32
wiz.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="C:WINDOWSSystem32CTFMON.EXE" [2004-08-19 15360]

C:Documents and SettingsAll UsersMenu D,marrerProgrammesD,marrage
HP Digital Imaging Monitor.lnk - C:Program FilesHPDigital Imaginginhpqtra08.exe [2004-11-04 258048]
Lancement rapide d'Adobe Reader.lnk - C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe [2008-04-23 29696]
Microsoft Office.lnk - C:Program FilesMicrosoft OfficeOffice10OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon
otifyAS-E5N70T30NDG6]
2008-08-28 18:48 98833 C:WINDOWSsystem32AS-E5N70T30NDG6.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"C:\Program Files\Logiciels P2P\uTorrent\uTorrent.exe"=
"C:\Program Files\MSN Messenger\msnmsgr.exe"=
"C:\Program Files\MSN Messenger\livecall.exe"=

R0 iteraid;ITERAID_Service_Install;C:WINDOWSsystem32DRIVERSiteraid.sys [2003-02-20 21851]
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;C:WINDOWSsystem32DRIVERSSI3112r.sys [2003-05-30 89610]
R3 usbstor;Pilote de stockage de masse USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
R3 wdm_au8830;Pilote audio Aureal Vortex 8830 (WDM);C:WINDOWSsystem32driversadm8830.sys [2001-08-17 747392]
S3 DarkSpy;DarkSpy;C:WINDOWSsystem32DarkSpyKernel.sys [ ]
S3 usbscan;Pilote de scanneur USB;C:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]

*Newly Created Service* - CATCHME
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
O8 -: E&xporter vers Microsoft Excel - C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O16 -: Microsoft XML Parser for Java - file://C:WINDOWSJavaclassesxmldso.cab
C:WINDOWSDownloaded Program FilesMicrosoft XML Parser for Java.osd

O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E} - hxxp://www.srtest.com/srl_bin/sysreqlab3.cab
C:WINDOWSDownloaded Program FilesSysReqLab3.osd
C:WINDOWSDownloaded Program Filessysreqlab3.dll

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/ht ... oader5.cab
C:WINDOWSDownloaded Program FilesImageUploader5.inf
C:WINDOWSsystem32unicows.dll
C:WINDOWSDownloaded Program FilesImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 20:00:15
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:WINDOWSsystem32winlogon.exe
-> C:WINDOWSsystem32AS-E5N70T30NDG6.dll
.
Temps d'accomplissement: 2008-09-03 20:01:00
ComboFix-quarantined-files.txt 2008-09-03 18:00:57
ComboFix2.txt 2008-09-01 22:41:28

Pre-Run: 14,788,128,768 octets libres
Post-Run: 14,787,022,848 octets libres

165



J'en ai profité pour faire un scan avec Elibagle mais il ne m'a rien trouvé.
Mike_bungle
Visiteur
Visiteur
 
Messages: 8
Inscription: 02 Sep 2008 21:31
 

Message le 03 Sep 2008 19:09

Tu as supprimé tous les fichiers vérolés ou pas?

Tu as fait la purge des points de restauration?

Fais un nouveau scan antivirus en ligne et postes le rapport.

Pour l'analyse du rapport ComboFix, je le fais dans la matinée de demain.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 03 Sep 2008 21:05

Oui j'ai supprimé tous les virus et spyware trouvés par F-secure.
Ensuite j'ai réalisé la purge des points de restauration comme indiqué.

J'ai refait un scan en ligne avec F-secure et cette fois-ci il m'a trouvé 4 espions non dangereux que j'ai viré.
J'ai pas sauvegardé le rapport désolé.
Mike_bungle
Visiteur
Visiteur
 
Messages: 8
Inscription: 02 Sep 2008 21:31
 

Message le 03 Sep 2008 21:30

Ok.

J'épluche le rapport de ComboFix demain matin pour être sûr.

Quand je parlais des fichiers vérolés, je pensais aux cracks téléchargés.
Tu as fait le ménage de ce côté là, comme avec PATCH_RAR & PATCH_WINRAR?

Pour finaliser tout ceci, il faudra un scan HiJackThis dont tu posteras le rapport dans ton prochain message.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 04 Sep 2008 12:22

Bonjour.

Le rapport est correct.

J'attends un log HiJackThis pour peaufiner tout cela.

Et bien entendu, la réponse à ma question.

De plus, je te conseille fortement de désinstaller les programmes peer-to-peer comme eMule ou uTorrent s'ils ne te servent pas à récupérer des fichiers libres de droits.

Ps: tu aurais pu dire que tu étais aidé sur un autre forum de sécurité.

Tu as désinstallé AVG Antispyware comme demandé par Winx?
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 04 Sep 2008 12:31

Oui je les ai aussi viré les 2 crack.
Par contre je ne peux pas faire de scan avec HijackThis puisque celui-ci se ferme dès son lancement.
Même en le renommant ça ne fonctionne pas.

Oui j'ai installé AVG Anti-spyware et ce logiciel fonctionne. Il m'avait trouvé quelques espions il y a de ça une semaine...il faudrait que je refasse un scan avec.

PS: désolé je ne pensais pas que cela soit important le fait d'avoir posté le même sujet sur un autre forum...mais comme ça n'avançait pas je suis venu posté ici.
Mike_bungle
Visiteur
Visiteur
 
Messages: 8
Inscription: 02 Sep 2008 21:31
 

Message le 04 Sep 2008 13:12

Alors dans l'ordre:

_ bien pour la suppression des cracks;

_ tu as installé AVG mais il y a aussi Spybot et ces deux logiciels font double emploi.
Désinstalles-en un des deux;

_ pas grave mais cela n'a pas stagné sur l'autre forum, il attend un rapport de ta part.

Sinon, je commence à sécher cause pas assez d'informations sur la menace en question.

Etant donné qu'EliBagla ne trouve pas de Bagle, que F-Secure ne trouve rien et que ComboFix n'a rien trouvé non plus, je me pose des questions!

On va tenter deux choses:

1_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

2_ Tu télécharges DiagHelp sur le Bureau.

Tu fais un clic-droit sur le fichier puis tu cliques sur Extraire ici.

Un nouveau dossier DiagHelp apparaitra.
Tu l'ouvres puis cliques sur go.cmd ou go.

Une fenêtre s'ouvre avec quatre options disponibles.

Tu appuies sur la touche [1] puis sur [Entrée].
Après lecture du message d'avertissement, tu appuies sur n'importe quelle touche pour lancer l'analyse.

Le scan débutera dans la fenêtre qui sera alors rouge.

Lorsque les lignes hidden service & hidden files apparaîssent, tu appuies sur la touche [Entrée] pour continuer l'analyse.

Si l'utilitaire te demande d'envoyer un fichier, tu exécutes les consignes.

A la fin de l'analyse, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:Documents And SettingsNom_d_UtilisateurBureauResultat.txt et tu nous le colles dans ton prochain message en stipulant bien quelle option a été utilisé.
Tu en profites pour renommer le rapport en Resultat1.txt.

Tu relances ensuite le programme et tu sélectionnes l'option [2].

A la fin de l'analyse, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:Documents And SettingsNom_d_UtilisateurBureauResultat.txt et tu nous le colles dans ton prochain message en stipulant bien quelle option a été utilisé.
Tu en profites pour renommer le rapport en Resultat2.txt.

Dernière option, tu relances le programme et appuies sur la touche [3].

A la fin de l'analyse, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:Documents And SettingsNom_d_UtilisateurBureauResultat.txt et tu nous le colles dans ton prochain message en stipulant bien quelle option a été utilisé.
Tu en profites pour renommer le rapport en Resultat3.txt.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Suivante


Sujets similaires

Message [Réglé] choix anti virus
bonjour a tous, je viens de changer mon pc et j'aimerai vos avis sur le choix de l anti virus.
Réponses: 8

Message HELP je pense avoir un virus
Bonsoir,Première fois que ce genre de chose m'arrive, j'ai d'abord été hackée sur Instagram, pensant que ca s'arrêterait làEnsuite ca a été au tour de STEAM malgré le steam guard ( identification à 2 facteurs) puis Linkedin !! Je n'ai eu aucune alerte de connexion, que ce soit par sms ou email !! J' ...
Réponses: 12

Message Aide suite à une analyse FRST contre un virus vbc.exe
Bonjour tout le monde, J'ai récemment constaté que j'étais infecté par un virus lié à vbc.exe, ce qui entraîne une utilisation du CPU allant jusqu'à 30% voire 40%. J'ai donc effectué mes analyses FRST et voici les rapports obtenus : - FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20240315_ ...
Réponses: 3

Message [Réglé] Petite vérification virus
Salut Heravles ,Merci et bonne année a toi également et aussi a toute ta famille.Oui désolé j'ai pas fais attention quand j'ai téléchargé le logiciel alors que je sais très bien qu'il fallait le faire sur le bureau. Je ferais plus attention la prochaine fois.Nickel si mon Pc et pas infecté.Je t'envo ...
Réponses: 5

Message 22h2 bogues tpm et centre de sécurité: virus?
Salut,J'ai refait iso et formaté override le disque. Un reset électrique du PC.Je suis sur W11 PRO 64 v22621.525 (même bogue sur la première iso 22h2 fournie par Microsoft en 22621.382).WU est désactivé avant connexion a internet via gpedit.msc.J'ai installé à neuf en compte local. J'installe sans i ...
Réponses: 17

Message anti virus gratuit
Bonjour,Avez-vous un anti virus nettoyeur gratuit en français a me conseiller pour mon j3 2016 samsung.Cordialement.
Réponses: 3

Message Des VIRUS (encore ?)
Bonjour Bernard,merci pour ton aide, j'ai donc supprimé les logiciels adobe que j'avais cracké,voici les nouvelles analyses:Addition : https://cjoint.com/c/LKduLSQQmLnFRST : https://cjoint.com/c/LKduNhgM1vnShortcut : https://cjoint.com/c/LKduNycdWwnCordialement
Réponses: 7


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.