Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] MAchine avec plein de Symptômes anormaux - sais même pas fair

Wisewise3

Par Wisewise3
dans Analyses et éradication malwares

 Partager

Messages recommandés

Wisewise3 Mega Power Member

Wisewise3

Posté(e)
Posté(e) (modifié)

Bonjour,

 

une personne m'a passé son portable car il me dit qu'il n'arrivait plus à utiliser sa carte réseau Wifi. Malgré mes tentatives d'installer les pilotes etc. Tout a l'air ok mais pas moyen de trouver un reseau Wifi.

 

Il y a vait également des écrans bleus aléatoires. afd.sys, Etc...

 

J'ai voulu vérifier si pas de virus par l'install d'antivir et là un dll ne pouvait se décompresser: avarkt.dll

 

Suite à une recherche dans google je tombe sur des personnes qui parlent de virus "Bagle"....

 

J'ai utilisé msn fix qui a mis TRES longtmps pour s'exécuter. Il avait trouvé la présence d'une infection.

 

J4ai également exéctuer Combo fix mais sans pouvoir faire quoi que ce soit, au redémarrage, Vista a lancé une récup system et tous les fichiers téléchargés précédemment ont été enlevés...

 

Quand j'ai voulu télécharger Hijack, il ne disait que je n'avais pas le droit... j'ai renommé avec un autre nom pour le faire...

 

MAlgré cela, il ouvre hijack et quand j lance il ferme hijack, je sais même pas poster un rapport

La connexion par la carte réseau elle fonctionne...

 

Bien à vous et MERCI pour votre aide.

 

WiseWise3

Modifié par Wisewise3

Wisewise3 Mega Power Member

Wisewise3

Posté(e)
  • Auteur
Posté(e)

En allant sur le site de Hijack, j'ai renommé encore une fois Hijack par coucou et réussi à vite avoir le rapport. Aussitôt celui ci ouvert j'ai fait un copier et dès que j'ai fait çà il s'est fermé. Mais voici le rapport...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:20:50, on 05/10/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Search Settings\SearchSettings.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Windows\System32\mobsync.exe

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Windows Live Toolbar\msn_sl.exe

C:\Users\matthieu\Desktop\coucou.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [soapdog] "C:\ProgramData\Bike mags mags.nrayjw"

O4 - HKCU\..\Run: [MODE FREE BIRD SURF] "C:\ProgramData\bat nurb pop.er7pf0"

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O13 - Gopher Prefix:

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 6458 bytes

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e) (modifié)

Bonjour wiwise3

 

Besoin de deux autres rapports avant de passer au nettoyage :

 

1) Désactive le contrôle des comptes utilisateurs

(Tu le réactiveras après ta désinfection):

  • Vas dans le menu Démarrer puis Panneau de configuration
  • Double Clique sur l'icône "Comptes d'utilisateurs"
  • Clique ensuite sur Activer ou désactiver le contrôle des comptes dutilisateurs
  • Décoche «Utiliser le contrôle dutilisateurs pour vous aider à protéger votre ordinateur» et Valide par OK

.Un redémarrage sera nécessaire.

 

2) LOP S&D d'Eric71

 

Télécharge LOP S&D d'Eric71 sur ton Bureau.

  • Double-clique dessus pour lancer l'installation.
  • Puis clique sur le raccourci LOP S&D présent sur ton Bureau et "Exécuter en tant qu'administrateur".
  • Sélectionne la langue souhaitée , puis choisis l'Option 1 ( Recherche )
  • Patiente jusqu'à la fin du scan.

--> Sauvegarde le rapport généré sur ton Bureau.

 

3) ToolBar-S&D

 

Télécharge ToolBar-S&D (Merci à Eric_71, Angeldark, Sham_Rock et XmichouX) sur ton Bureau.

  • Double-clique sur ToolBar-S&D afin de lancer l'installation, un raccourci sera ajouté sur le Bureau.
  • Clique droit dessus puis "Exécuter en tant qu'administrateur" pour démarrer l'outil; choisis la langue.
  • Tape 1 puis sur la touche [Entrée] afin de lancer la recherche.
  • Patiente jusqu'à la fin de la recherche.
  • À la fin du scan, le rapport s'ouvrira dans le Bloc-notes.
  • Poste ce rapport, par copier/coller, dans ta prochaine réponse (le rapport se trouve également sous : C:\TB.txt) ainsi que celui de Lop S&D que tu as sauvegardé sur ton Bureau (situé aussi ici C:\ lopR.txt).

Aide en images : http://toolbarsd.googlepages.com/aideenimages

 

@ suivre.

Modifié par Le sioux
Wisewise3 Mega Power Member

Wisewise3

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

J'ai téléchargé les programmes demandés par "MON" pc et là je constate que dès que j'ai inséré ma clé usb que j'avais mis dans le PC infecté, Antivir me signale la présence d'un trojan dans un fichier "autorun.inf sous le nom de TR/PSW.Nilage.bvl.1 - çà donnera peut etre une piste....

 

Voici les rapports demandés:

 

 

--------------------\\ Lop S&D 4.2.4-5 XP/Vista

 

Microsoft® Windows Vista Édition Familiale Basique ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual-Core Processor TK-55 )

BIOS : Default System BIOS

USER : matthieu ( Not Administrator ! )

BOOT : Normal boot

Antivirus : Windows Live OneCare 1.0.0 (Activated)

Firewall : Pare-feu Windows Live OneCare 1.0.0 (Activated)

C:\ (Local Disk) - NTFS - Total : 103 Go Free : 58 Go

D:\ (CD or DVD)

E:\ (USB) - FAT - Total : 955 Mo Free : 0 Go

 

"C:\Lop SD" ( MAJ : 02-10-2008|23:42 )

Option : [1] ( 05/10/2008|12:47 )

 

[ UAC => 0 ]

 

--------------------\\ Listing des dossiers dans Local

 

[17/06/2008|00:29] C:\Users\matthieu\AppData\Local\Adobe

[04/08/2008|00:23] C:\Users\matthieu\AppData\Local\Ahead

[20/04/2008|16:18] C:\Users\matthieu\AppData\Local\Application Data

[30/04/2008|02:22] C:\Users\matthieu\AppData\Local\ATI

[21/07/2008|23:02] C:\Users\matthieu\AppData\Local\d3d8caps.dat

[01/06/2008|08:02] C:\Users\matthieu\AppData\Local\d3d9caps.dat

[01/10/2008|10:01] C:\Users\matthieu\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[27/07/2008|13:15] C:\Users\matthieu\AppData\Local\DNA

[05/08/2008|10:09] C:\Users\matthieu\AppData\Local\eMule

[12/06/2008|12:14] C:\Users\matthieu\AppData\Local\GDIPFONTCACHEV1.DAT

[19/09/2008|15:42] C:\Users\matthieu\AppData\Local\Google

[20/04/2008|16:18] C:\Users\matthieu\AppData\Local\Historique

[05/10/2008|12:33] C:\Users\matthieu\AppData\Local\IconCache.db

[04/10/2008|15:02] C:\Users\matthieu\AppData\Local\Microsoft

[30/04/2008|00:34] C:\Users\matthieu\AppData\Local\Microsoft Games

[01/10/2008|10:05] C:\Users\matthieu\AppData\Local\MigWiz

[12/07/2008|16:35] C:\Users\matthieu\AppData\Local\Shareaza

[05/10/2008|12:44] C:\Users\matthieu\AppData\Local\Temp

[20/04/2008|16:18] C:\Users\matthieu\AppData\Local\Temporary Internet Files

[29/05/2008|16:21] C:\Users\matthieu\AppData\Local\VirtualStore

[29/09/2008|22:22] C:\Users\matthieu\AppData\Local\Windows Live Writer

 

--------------------\\ Tâches planifiées dans C:\Windows\tasks

 

[20/04/2008 16:55][--a------] C:\Windows\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job

[05/10/2008 12:43][--ah-----] C:\Windows\tasks\SA.DAT

[04/10/2008 17:07][--a------] C:\Windows\tasks\SCHEDLGU.TXT

 

--------------------\\ Listing des dossiers dans C:\ProgramData

 

[15/05/2008|17:12] C:\ProgramData\Adobe

[29/09/2008|12:14] C:\ProgramData\Apowersoft

[29/05/2008|10:59] C:\ProgramData\Apple Computer

[02/11/2006|14:59] C:\ProgramData\Application Data

[20/04/2008|16:37] C:\ProgramData\Atheros

[04/10/2008|12:47] C:\ProgramData\Avira

[29/05/2008|13:24] C:\ProgramData\AVS4YOU

[27/04/2008|16:24] C:\ProgramData\bat nurb pop.er7pf0

[11/05/2008|11:19] C:\ProgramData\beep axis mode free

[11/05/2008|02:13] C:\ProgramData\Bike mags mags.5dfz2

[21/04/2008|01:49] C:\ProgramData\Bike mags mags.7jfxdz5

[27/04/2008|16:24] C:\ProgramData\Bike mags mags.ezulw

[27/04/2008|16:24] C:\ProgramData\Bike mags mags.k96sp

[11/05/2008|11:18] C:\ProgramData\Bike mags mags.nrayjw

[11/05/2008|01:29] C:\ProgramData\Bike mags mags.ofu6au7

[11/05/2008|01:51] C:\ProgramData\Bike mags mags.wnpwi

[20/04/2008|16:16] C:\ProgramData\Bureau

[02/11/2006|14:59] C:\ProgramData\Desktop

[02/11/2006|14:59] C:\ProgramData\Documents

[22/04/2008|01:00] C:\ProgramData\Downloaded Installations

[05/08/2008|10:09] C:\ProgramData\eMule

[30/04/2008|01:27] C:\ProgramData\eSellerate

[20/04/2008|16:16] C:\ProgramData\Favoris

[02/11/2006|14:59] C:\ProgramData\Favorites

[19/09/2008|15:32] C:\ProgramData\Google

[16/09/2008|15:17] C:\ProgramData\Installations

[27/04/2008|16:24] C:\ProgramData\ITCHSIXTHWMA

[29/05/2008|13:36] C:\ProgramData\LauncherAccess.dt

[09/06/2008|13:49] C:\ProgramData\Logishrd

[07/05/2008|10:48] C:\ProgramData\Logitech

[20/04/2008|16:16] C:\ProgramData\Menu D‚marrer

[09/06/2008|19:59] C:\ProgramData\Messenger Plus!

[04/10/2008|15:02] C:\ProgramData\Microsoft

[20/04/2008|16:16] C:\ProgramData\ModŠles

[04/08/2008|11:21] C:\ProgramData\Nero

[18/09/2008|09:58] C:\ProgramData\PC Suite

[02/11/2006|14:59] C:\ProgramData\Start Menu

[02/11/2006|14:59] C:\ProgramData\Templates

[25/09/2008|07:06] C:\ProgramData\WindowsSearch

[22/05/2008|00:53] C:\ProgramData\WLInstaller

 

--------------------\\ Listing des dossiers dans C:\Program Files

 

[07/05/2008|14:47] C:\Program Files\Acro Software

[30/06/2008|12:28] C:\Program Files\Adobe

[30/06/2008|11:00] C:\Program Files\Antadis

[29/09/2008|12:11] C:\Program Files\Apowersoft

[01/10/2008|22:36] C:\Program Files\AskTBar

[30/04/2008|02:15] C:\Program Files\ATI

[30/04/2008|02:16] C:\Program Files\ATI Technologies

[01/10/2008|12:16] C:\Program Files\ATK Hotkey

[04/10/2008|12:47] C:\Program Files\Avira

[29/05/2008|16:02] C:\Program Files\AVS4YOU

[27/07/2008|14:04] C:\Program Files\BitComet

[27/07/2008|13:15] C:\Program Files\BitTorrent

[02/07/2008|13:39] C:\Program Files\CFacile

[21/04/2008|01:48] C:\Program Files\Circle Developement

[26/09/2008|20:57] C:\Program Files\Common Files

[01/10/2008|22:36] C:\Program Files\Conduit

[16/09/2008|15:24] C:\Program Files\DIFX

[27/07/2008|13:15] C:\Program Files\DNA

[05/08/2008|10:09] C:\Program Files\eMule

[20/04/2008|16:16] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]

[01/10/2008|21:14] C:\Program Files\Free Easy Burner

[07/05/2008|14:48] C:\Program Files\GPLGS

[01/10/2008|21:14] C:\Program Files\InstallShield Installation Information

[02/07/2008|12:06] C:\Program Files\Internet Explorer

[10/06/2008|13:26] C:\Program Files\K-Lite Codec Pack

[09/06/2008|13:49] C:\Program Files\Logitech

[08/09/2008|09:13] C:\Program Files\Messenger Plus! Live

[30/04/2008|11:04] C:\Program Files\Microsoft CAPICOM 2.1.0.2

[02/11/2006|14:35] C:\Program Files\Microsoft Games

[12/06/2008|14:57] C:\Program Files\Microsoft Office

[20/04/2008|16:55] C:\Program Files\Microsoft SQL Server Compact Edition

[05/10/2008|12:48] C:\Program Files\Microsoft Windows OneCare Live

[02/07/2008|12:06] C:\Program Files\Movie Maker

[24/09/2008|17:13] C:\Program Files\Mozilla Firefox

[02/11/2006|14:35] C:\Program Files\MSBuild

[07/05/2008|03:01] C:\Program Files\MSXML 4.0

[03/08/2008|23:48] C:\Program Files\Nero

[16/09/2008|15:22] C:\Program Files\PC Connectivity Solution

[01/10/2008|21:14] C:\Program Files\PhotoFiltre

[16/05/2008|01:34] C:\Program Files\Picasa2

[29/05/2008|15:54] C:\Program Files\QuickTime

[02/11/2006|14:35] C:\Program Files\Reference Assemblies

[07/05/2008|11:42] C:\Program Files\Samsung

[05/05/2008|15:25] C:\Program Files\Search Settings

[12/07/2008|16:36] C:\Program Files\Shareaza

[30/09/2008|16:00] C:\Program Files\Support.com

[01/10/2008|23:18] C:\Program Files\Synaptics

[12/06/2008|16:45] C:\Program Files\Tracker Software

[02/11/2006|14:58] C:\Program Files\Uninstall Information

[22/04/2008|01:00] C:\Program Files\VirginMega

[02/07/2008|12:06] C:\Program Files\Windows Calendar

[02/07/2008|12:06] C:\Program Files\Windows Collaboration

[02/07/2008|12:05] C:\Program Files\Windows Defender

[22/04/2008|01:28] C:\Program Files\Windows Live

[20/04/2008|16:55] C:\Program Files\Windows Live Favorites

[20/04/2008|16:55] C:\Program Files\Windows Live Toolbar

[02/07/2008|12:06] C:\Program Files\Windows Mail

[01/10/2008|21:14] C:\Program Files\Windows Media Player

[20/04/2008|16:16] C:\Program Files\Windows NT

[02/07/2008|12:06] C:\Program Files\Windows Photo Gallery

[02/07/2008|12:06] C:\Program Files\Windows Sidebar

[05/05/2008|13:02] C:\Program Files\WinRAR

[29/05/2008|15:53] C:\Program Files\Xilisoft

[01/10/2008|22:27] C:\Program Files\Yahoo!

 

--------------------\\ Listing des dossiers dans C:\Program Files\Common Files

 

[15/05/2008|17:12] C:\Program Files\Common Files\Adobe

[29/05/2008|16:02] C:\Program Files\Common Files\AVSMedia

[18/09/2008|10:00] C:\Program Files\Common Files\InstallShield

[09/06/2008|13:50] C:\Program Files\Common Files\LogiShrd

[12/06/2008|14:57] C:\Program Files\Common Files\microsoft shared

[18/09/2008|09:59] C:\Program Files\Common Files\PX Storage Engine

[02/11/2006|13:18] C:\Program Files\Common Files\Services

[02/11/2006|13:18] C:\Program Files\Common Files\SpeechEngines

[02/07/2008|12:05] C:\Program Files\Common Files\System

[20/04/2008|16:50] C:\Program Files\Common Files\WindowsLiveInstaller

 

--------------------\\ Process

 

( 56 Processes )

 

... OK !

 

--------------------\\ Recherche avec S_Lop

 

C:\ProgramData\Bike mags mags.5dfz2

C:\ProgramData\Bike mags mags.ezulw

C:\ProgramData\Bike mags mags.k96sp

C:\ProgramData\Bike mags mags.wnpwi

C:\ProgramData\bat nurb pop.er7pf0

C:\ProgramData\Bike mags mags.nrayjw

C:\ProgramData\Bike mags mags.7jfxdz5

C:\ProgramData\Bike mags mags.ofu6au7

 

--------------------\\ Recherche de Fichiers / Dossiers Lop

 

C:\ProgramData\beep axis mode free

C:\Program Files\Circle Developement

C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies\matthieu@advertising[2].txt

 

--------------------\\ Verification du Registre

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"soapdog"="\"C:\\ProgramData\\Bike mags mags.nrayjw\""

"MODE FREE BIRD SURF"="\"C:\\ProgramData\\bat nurb pop.er7pf0\""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

--------------------\\ Verification du fichier Hosts

 

Fichier Hosts PROPRE

 

 

--------------------\\ Recherche de fichiers avec Catchme

 

 

--------------------\\ Recherche d'autres infections

 

--------------------\\ ROOTKIT !!

 

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\srosa]

 

--------------------\\ Cracks & Keygens ..

 

C:\Users\matthieu\AppData\Roaming\BitTorrent\Ma 6-t Va Crack-er.avi.torrent

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\key nero8 no serial(crack).lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Ma 6-t Va Crack-er.lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Nero 8 Fr + Keygen.lnk

C:\Users\matthieu\Documents\Downloads\Ma 6-t Va Crack-er.avi

C:\Users\matthieu\Videos\QuickCam\Ma 6-t Va Crack-er.3gp

 

 

[F:372][D:71]-> C:\Users\matthieu\AppData\Local\Temp

[F:69][D:0]-> C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies

[F:1793][D:15]-> C:\Users\matthieu\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5

[F:72][D:9]-> C:\$Recycle.Bin

 

1 - "C:\Lop SD\LopR_1.txt" - 05/10/2008|12:50 - Option : [1]

 

--------------------\\ Fin du rapport a 12:50:16

[ UAC => 1 ]

 

 

 

 

 

 

 

 

-----------\\ ToolBar S&D 1.2.2 XP/Vista

 

Microsoft® Windows Vista Édition Familiale Basique ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual-Core Processor TK-55 )

BIOS : Default System BIOS

USER : matthieu ( Not Administrator ! )

BOOT : Normal boot

Antivirus : Windows Live OneCare 1.0.0 (Activated)

Firewall : Pare-feu Windows Live OneCare 1.0.0 (Activated)

C:\ (Local Disk) - NTFS - Total : 103 Go Free : 58 Go

D:\ (CD or DVD)

E:\ (USB) - FAT - Total : 955 Mo Free : 0 Go

 

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )

Option : [1] ( 05/10/2008|12:52 )

 

[ UAC => 1 ]

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\AskTBar

C:\Program Files\AskTBar\bar

C:\Program Files\AskTBar\PopSwatr

C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies\matthieu@dealio[2].txt

C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies\matthieu@mysearch[1].txt

C:\Program Files\Search Settings

C:\Program Files\Search Settings\kb127

C:\Program Files\Search Settings\SearchSettings.exe

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\Windows\\system32\\blank.htm"

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

"Default_Search_URL"="http://www.google.com/ie"

"Start Page"="http://www.google.be/"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://fr.yahoo.com"'>http://fr.yahoo.com"

"Default_Page_URL"="http://fr.yahoo.com"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

 

 

--------------------\\ Recherche d'autres infections

 

--------------------\\ ROOTKIT !!

 

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\srosa]

 

--------------------\\ Cracks & Keygens ..

 

C:\Users\matthieu\AppData\Roaming\BitTorrent\Ma 6-t Va Crack-er.avi.torrent

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\key nero8 no serial(crack).lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Ma 6-t Va Crack-er.lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Nero 8 Fr + Keygen.lnk

C:\Users\matthieu\Documents\Downloads\Ma 6-t Va Crack-er.avi

C:\Users\matthieu\Videos\QuickCam\Ma 6-t Va Crack-er.3gp

 

 

[ UAC => 1 ]

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 05/10/2008|12:53 - Option : [1]

 

-----------\\ Fin du rapport a 12:53:49,55

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e) (modifié)

Re

 

J'ai téléchargé les programmes demandés par "MON" pc et là je constate que dès que j'ai inséré ma clé usb que j'avais mis dans le PC infecté, Antivir me signale la présence d'un trojan dans un fichier "autorun.inf sous le nom de TR/PSW.Nilage.bvl.1 - çà donnera peut etre une piste....

Ta clef usb doit être infectée par un ver, attention, celui-ci se transmet via l'utilisation du double clic sur le support infecté, on voit cela par la suite :P

 

1) LOP S&D

  • Relance LOP S&D en faisant un clic droit sur son raccourci sur ton Bureau puis "Exécuter en tant qu'administrateur"
  • Choisis cette fois ci l'Option 2 ( Suppression)

/!\Ne ferme pas la fenêtre lors de la suppression !/!\

  • Sauvegarde le rapport généré sur ton Bureau

2) ToolBar S&D(Merci à Eric_71, Angeldark, Sham_Rock et XmichouX)

 

/!\Déconnecte toi du net et désactive ton antivirus / antispyware résident / TeaTimer de Spybot (si présent et actif)/!\

Aide en images : http://forum.pcastuces.com/sujet.asp?f=25&s=37316

  • Clique sur le raccourci de ToolBar-S&D présent sur ton Bureau puis "Exécuter en tant qu'administrateur".
  • Au menu principal, choisis l'option 2 et valide par la touche [Entrée].

/!\ Ne ferme pas la fenêtre lors de la suppression /!\

  • Un rapport sera généré.

--> Poste le rapport de ToolBar-SD ainsi que celui de Lop S&D que tu as sauvegardé sur ton Bureau (sauvegardé aussi ici C:\lopR.txt) et un nouveau rapport HijackThis.

 

/!\Ré-active ton antivirus / antispyware résident / TeaTimer de Spybot avant de te reconnecter sur le net/!\

 

@ suivre.

 

PS : On s'occupe de Baggle tout de suite après.

Modifié par Le sioux
Wisewise3 Mega Power Member

Wisewise3

Posté(e)
  • Auteur
Posté(e)

oki pour la clé USB :P

 

j'ai regardé il met à chaque fois un fichier sous le nom nideiect.com. Vicieux qd même de mettre çà sous un autorun.inf...

 

Voici les rapports

 

 

--------------------\\ Lop S&D 4.2.4-5 XP/Vista

 

Microsoft« Windows VistaÖ ╔dition Familiale Basique ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual-Core Processor TK-55 )

BIOS : Default System BIOS

USER : matthieu ( Not Administrator ! )

BOOT : Normal boot

Antivirus : Windows Live OneCare 1.0.0 (Activated)

Firewall : Pare-feu Windows Live OneCare 1.0.0 (Activated)

C:\ (Local Disk) - NTFS - Total : 103 Go Free : 58 Go

D:\ (CD or DVD)

 

"C:\Lop SD" ( MAJ : 02-10-2008|23:42 )

Option : [2] ( 05/10/2008|13:12 )

 

[ UAC => 1 ]

 

 

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

 

Supprime! - C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies\matthieu@advertising[2].txt

Supprime! - C:\ProgramData\Bike mags mags.5dfz2

Supprime! - C:\ProgramData\Bike mags mags.ezulw

Supprime! - C:\ProgramData\Bike mags mags.k96sp

Supprime! - C:\ProgramData\Bike mags mags.wnpwi

Supprime! - C:\ProgramData\bat nurb pop.er7pf0

Supprime! - C:\ProgramData\Bike mags mags.nrayjw

Supprime! - C:\ProgramData\Bike mags mags.7jfxdz5

Supprime! - C:\ProgramData\Bike mags mags.ofu6au7

Supprime! - C:\ProgramData\beep axis mode free

Supprime! - C:\Program Files\Circle Developement

-

[ Fichier Hosts ] .. Restaure!

 

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

 

 

--------------------\\ Listing des dossiers dans Local

 

[17/06/2008|00:29] C:\Users\matthieu\AppData\Local\Adobe

[04/08/2008|00:23] C:\Users\matthieu\AppData\Local\Ahead

[20/04/2008|16:18] C:\Users\matthieu\AppData\Local\Application Data

[30/04/2008|02:22] C:\Users\matthieu\AppData\Local\ATI

[21/07/2008|23:02] C:\Users\matthieu\AppData\Local\d3d8caps.dat

[01/06/2008|08:02] C:\Users\matthieu\AppData\Local\d3d9caps.dat

[01/10/2008|10:01] C:\Users\matthieu\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[27/07/2008|13:15] C:\Users\matthieu\AppData\Local\DNA

[05/08/2008|10:09] C:\Users\matthieu\AppData\Local\eMule

[12/06/2008|12:14] C:\Users\matthieu\AppData\Local\GDIPFONTCACHEV1.DAT

[19/09/2008|15:42] C:\Users\matthieu\AppData\Local\Google

[20/04/2008|16:18] C:\Users\matthieu\AppData\Local\Historique

[05/10/2008|12:33] C:\Users\matthieu\AppData\Local\IconCache.db

[04/10/2008|15:02] C:\Users\matthieu\AppData\Local\Microsoft

[30/04/2008|00:34] C:\Users\matthieu\AppData\Local\Microsoft Games

[01/10/2008|10:05] C:\Users\matthieu\AppData\Local\MigWiz

[12/07/2008|16:35] C:\Users\matthieu\AppData\Local\Shareaza

[05/10/2008|13:12] C:\Users\matthieu\AppData\Local\Temp

[20/04/2008|16:18] C:\Users\matthieu\AppData\Local\Temporary Internet Files

[29/05/2008|16:21] C:\Users\matthieu\AppData\Local\VirtualStore

[29/09/2008|22:22] C:\Users\matthieu\AppData\Local\Windows Live Writer

 

--------------------\\ TÔches planifiÚes dans C:\Windows\tasks

 

[20/04/2008 16:55][--a------] C:\Windows\tasks\Vérifier les mises à jour de Windows Live Toolbar.job

[05/10/2008 12:43][--ah-----] C:\Windows\tasks\SA.DAT

[04/10/2008 17:07][--a------] C:\Windows\tasks\SCHEDLGU.TXT

 

--------------------\\ Listing des dossiers dans C:\ProgramData

 

[15/05/2008|17:12] C:\ProgramData\Adobe

[29/09/2008|12:14] C:\ProgramData\Apowersoft

[29/05/2008|10:59] C:\ProgramData\Apple Computer

[02/11/2006|14:59] C:\ProgramData\Application Data

[20/04/2008|16:37] C:\ProgramData\Atheros

[04/10/2008|12:47] C:\ProgramData\Avira

[29/05/2008|13:24] C:\ProgramData\AVS4YOU

[20/04/2008|16:16] C:\ProgramData\Bureau

[02/11/2006|14:59] C:\ProgramData\Desktop

[02/11/2006|14:59] C:\ProgramData\Documents

[22/04/2008|01:00] C:\ProgramData\Downloaded Installations

[05/08/2008|10:09] C:\ProgramData\eMule

[30/04/2008|01:27] C:\ProgramData\eSellerate

[20/04/2008|16:16] C:\ProgramData\Favoris

[02/11/2006|14:59] C:\ProgramData\Favorites

[19/09/2008|15:32] C:\ProgramData\Google

[16/09/2008|15:17] C:\ProgramData\Installations

[27/04/2008|16:24] C:\ProgramData\ITCHSIXTHWMA

[29/05/2008|13:36] C:\ProgramData\LauncherAccess.dt

[09/06/2008|13:49] C:\ProgramData\Logishrd

[07/05/2008|10:48] C:\ProgramData\Logitech

[20/04/2008|16:16] C:\ProgramData\Menu Démarrer

[09/06/2008|19:59] C:\ProgramData\Messenger Plus!

[04/10/2008|15:02] C:\ProgramData\Microsoft

[20/04/2008|16:16] C:\ProgramData\Modèles

[04/08/2008|11:21] C:\ProgramData\Nero

[18/09/2008|09:58] C:\ProgramData\PC Suite

[02/11/2006|14:59] C:\ProgramData\Start Menu

[02/11/2006|14:59] C:\ProgramData\Templates

[25/09/2008|07:06] C:\ProgramData\WindowsSearch

[22/05/2008|00:53] C:\ProgramData\WLInstaller

 

--------------------\\ Listing des dossiers dans C:\Program Files

 

[07/05/2008|14:47] C:\Program Files\Acro Software

[30/06/2008|12:28] C:\Program Files\Adobe

[30/06/2008|11:00] C:\Program Files\Antadis

[29/09/2008|12:11] C:\Program Files\Apowersoft

[01/10/2008|22:36] C:\Program Files\AskTBar

[30/04/2008|02:15] C:\Program Files\ATI

[30/04/2008|02:16] C:\Program Files\ATI Technologies

[01/10/2008|12:16] C:\Program Files\ATK Hotkey

[04/10/2008|12:47] C:\Program Files\Avira

[29/05/2008|16:02] C:\Program Files\AVS4YOU

[27/07/2008|14:04] C:\Program Files\BitComet

[27/07/2008|13:15] C:\Program Files\BitTorrent

[02/07/2008|13:39] C:\Program Files\CFacile

[26/09/2008|20:57] C:\Program Files\Common Files

[01/10/2008|22:36] C:\Program Files\Conduit

[16/09/2008|15:24] C:\Program Files\DIFX

[27/07/2008|13:15] C:\Program Files\DNA

[05/08/2008|10:09] C:\Program Files\eMule

[20/04/2008|16:16] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]

[01/10/2008|21:14] C:\Program Files\Free Easy Burner

[07/05/2008|14:48] C:\Program Files\GPLGS

[01/10/2008|21:14] C:\Program Files\InstallShield Installation Information

[02/07/2008|12:06] C:\Program Files\Internet Explorer

[10/06/2008|13:26] C:\Program Files\K-Lite Codec Pack

[09/06/2008|13:49] C:\Program Files\Logitech

[08/09/2008|09:13] C:\Program Files\Messenger Plus! Live

[30/04/2008|11:04] C:\Program Files\Microsoft CAPICOM 2.1.0.2

[02/11/2006|14:35] C:\Program Files\Microsoft Games

[12/06/2008|14:57] C:\Program Files\Microsoft Office

[20/04/2008|16:55] C:\Program Files\Microsoft SQL Server Compact Edition

[05/10/2008|12:48] C:\Program Files\Microsoft Windows OneCare Live

[02/07/2008|12:06] C:\Program Files\Movie Maker

[24/09/2008|17:13] C:\Program Files\Mozilla Firefox

[02/11/2006|14:35] C:\Program Files\MSBuild

[07/05/2008|03:01] C:\Program Files\MSXML 4.0

[03/08/2008|23:48] C:\Program Files\Nero

[16/09/2008|15:22] C:\Program Files\PC Connectivity Solution

[01/10/2008|21:14] C:\Program Files\PhotoFiltre

[16/05/2008|01:34] C:\Program Files\Picasa2

[29/05/2008|15:54] C:\Program Files\QuickTime

[02/11/2006|14:35] C:\Program Files\Reference Assemblies

[07/05/2008|11:42] C:\Program Files\Samsung

[05/05/2008|15:25] C:\Program Files\Search Settings

[12/07/2008|16:36] C:\Program Files\Shareaza

[30/09/2008|16:00] C:\Program Files\Support.com

[01/10/2008|23:18] C:\Program Files\Synaptics

[12/06/2008|16:45] C:\Program Files\Tracker Software

[02/11/2006|14:58] C:\Program Files\Uninstall Information

[22/04/2008|01:00] C:\Program Files\VirginMega

[02/07/2008|12:06] C:\Program Files\Windows Calendar

[02/07/2008|12:06] C:\Program Files\Windows Collaboration

[02/07/2008|12:05] C:\Program Files\Windows Defender

[22/04/2008|01:28] C:\Program Files\Windows Live

[20/04/2008|16:55] C:\Program Files\Windows Live Favorites

[20/04/2008|16:55] C:\Program Files\Windows Live Toolbar

[02/07/2008|12:06] C:\Program Files\Windows Mail

[01/10/2008|21:14] C:\Program Files\Windows Media Player

[20/04/2008|16:16] C:\Program Files\Windows NT

[02/07/2008|12:06] C:\Program Files\Windows Photo Gallery

[02/07/2008|12:06] C:\Program Files\Windows Sidebar

[05/05/2008|13:02] C:\Program Files\WinRAR

[29/05/2008|15:53] C:\Program Files\Xilisoft

[01/10/2008|22:27] C:\Program Files\Yahoo!

 

--------------------\\ Listing des dossiers dans C:\Program Files\Common Files

 

[15/05/2008|17:12] C:\Program Files\Common Files\Adobe

[29/05/2008|16:02] C:\Program Files\Common Files\AVSMedia

[18/09/2008|10:00] C:\Program Files\Common Files\InstallShield

[09/06/2008|13:50] C:\Program Files\Common Files\LogiShrd

[12/06/2008|14:57] C:\Program Files\Common Files\microsoft shared

[18/09/2008|09:59] C:\Program Files\Common Files\PX Storage Engine

[02/11/2006|13:18] C:\Program Files\Common Files\Services

[02/11/2006|13:18] C:\Program Files\Common Files\SpeechEngines

[02/07/2008|12:05] C:\Program Files\Common Files\System

[20/04/2008|16:50] C:\Program Files\Common Files\WindowsLiveInstaller

 

--------------------\\ Process

 

( 55 Processes )

 

... OK !

 

--------------------\\ Recherche avec S_Lop

 

Aucun fichier / dossier Lop trouvÚ !

 

--------------------\\ Recherche de Fichiers / Dossiers Lop

 

Aucun fichier / dossier Lop trouvÚ !

 

--------------------\\ Verification du Registre

 

..... OK !

 

--------------------\\ Verification du fichier Hosts

 

Fichier Hosts PROPRE

 

 

--------------------\\ Recherche de fichiers avec Catchme

 

 

--------------------\\ Recherche d'autres infections

 

--------------------\\ ROOTKIT !!

 

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\srosa]

 

--------------------\\ Cracks & Keygens ..

 

C:\Users\matthieu\AppData\Roaming\BitTorrent\Ma 6-t Va Crack-er.avi.torrent

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\key nero8 no serial(crack).lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Ma 6-t Va Crack-er.lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Nero 8 Fr + Keygen.lnk

C:\Users\matthieu\Documents\Downloads\Ma 6-t Va Crack-er.avi

C:\Users\matthieu\Videos\QuickCam\Ma 6-t Va Crack-er.3gp

 

 

[F:372][D:71]-> C:\Users\matthieu\AppData\Local\Temp

[F:68][D:0]-> C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies

[F:1793][D:15]-> C:\Users\matthieu\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5

[F:72][D:9]-> C:\$Recycle.Bin

 

1 - "C:\Lop SD\LopR_1.txt" - 05/10/2008|12:50 - Option : [1]

2 - "C:\Lop SD\LopR_2.txt" - 05/10/2008|13:14 - Option : [2]

 

--------------------\\ Fin du rapport a 13:14:23

[ UAC => 1 ]

 

 

 

 

 

-----------\\ ToolBar S&D 1.2.2 XP/Vista

 

Microsoft« Windows VistaÖ ╔dition Familiale Basique ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual-Core Processor TK-55 )

BIOS : Default System BIOS

USER : matthieu ( Not Administrator ! )

BOOT : Normal boot

Antivirus : Windows Live OneCare 1.0.0 (Activated)

Firewall : Pare-feu Windows Live OneCare 1.0.0 (Activated)

C:\ (Local Disk) - NTFS - Total : 103 Go Free : 58 Go

D:\ (CD or DVD)

E:\ (USB) - FAT - Total : 955 Mo Free : 0 Go

 

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )

Option : [2] ( 05/10/2008|13:15 )

 

[ UAC => 1 ]

 

-----------\\ SUPPRESSION

 

Supprime! - C:\Program Files\AskTBar\bar

Supprime! - C:\Program Files\AskTBar\PopSwatr

Supprime! - C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies\matthieu@dealio[2].txt

Supprime! - C:\Users\matthieu\AppData\Roaming\MICROS~1\Windows\Cookies\matthieu@mysearch[1].txt

Supprime! - C:\Program Files\Search Settings\kb127

Supprime! - C:\Program Files\Search Settings\SearchSettings.exe

Supprime! - C:\Program Files\AskTBar

Supprime! - C:\Program Files\Search Settings

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\Windows\\system32\\blank.htm"

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

"Default_Search_URL"="http://www.google.com/ie"

"Start Page"="http://www.google.be/"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.msn.com/"

"Default_Page_URL"="http://fr.yahoo.com"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

 

 

--------------------\\ Recherche d'autres infections

 

--------------------\\ ROOTKIT !!

 

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\CurrentControlSet\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet001\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet002\Enum\Root\srosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\LEGACY_SROSA]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\rosa]

Rootkit Bagle ! .. [HKLM\..\ControlSet003\Enum\Root\srosa]

 

--------------------\\ Cracks & Keygens ..

 

C:\Users\matthieu\AppData\Roaming\BitTorrent\Ma 6-t Va Crack-er.avi.torrent

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\key nero8 no serial(crack).lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Ma 6-t Va Crack-er.lnk

C:\Users\matthieu\AppData\Roaming\Microsoft\Windows\Recent\Nero 8 Fr + Keygen.lnk

C:\Users\matthieu\Documents\Downloads\Ma 6-t Va Crack-er.avi

C:\Users\matthieu\Videos\QuickCam\Ma 6-t Va Crack-er.3gp

 

 

[ UAC => 1 ]

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 05/10/2008|12:53 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 05/10/2008|13:17 - Option : [2]

 

-----------\\ Fin du rapport a 13:17:35,09

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e)

Re

 

OK, bien joué, on continu.

 

Télécharge ComboFix.exe de sUBs sur ton Bureau.

 

/!\ Lors du téléchargement, renomme le en Combo-Fix sinon, il sera "tué" par Baggle et deviendra inutilisable. /!\

 

Regarde ici comment faire http://forum.pcastuces.com/sujet.asp?f=25&s=37315

 

/!\ Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement. /!\

(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

 

Branche ta clef usb sur le PC infecté.

  • Clique droit sur ComboFix.exe puis « Exécuter en tant quadministrateur »
  • Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
  • Accepte en cliquant sur "Oui"
  • Mets le en langue française F
  • Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé./!\

  • En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.
  • Une fois le scan achevé, un rapport va s'afficher : Poste son contenu, ainsi qu’un nouveau rapport HijackThis Note : Le rapport se trouve également là : C:\ComboFix.txt.

/!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

 

@ suivre

 

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux ! / !\

Wisewise3 Mega Power Member

Wisewise3

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai tléchargé ComboFix et renommé en Combot-Fix sur ma clé

j'ai copié celui-ci sur le bureau du pc infecté.

J'ai exécuté celui-ci sur le bureau en temps qu'administrateur mais je n'ai rien qui apparait... pas de fenêtre Pop Qui m'averti... J4ai eu une barre de progression et ensuite plus rien...

 

Ici j'ai une fenêtre windows qui est apparue après longtemps "Utilitaire (QGREP) de recherche de chaines de caractères a cessé de fonctionner....

LEs propositions :

 

Rechercher ultérieurement une solution en ligne et fermer le programme

ou

Fermer le programme

 

Normal? lui faut il un certain temps avat de sexécuté ou est il déjà annulé?

 

PS: je dois exécuter quelque chose sur ma clé aussi?

Modifié par Wisewise3
Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e)

Re

 

On va essayer autrement :

 

1) Désactive le contrôle des comptes utilisateurs

(Tu le réactiveras après ta désinfection):

  • Vas dans le menu Démarrer puis Panneau de configuration
  • Double Clique sur l'icône "Comptes d'utilisateurs"
  • Clique ensuite sur Activer ou désactiver le contrôle des comptes dutilisateurs
  • Décoche «Utiliser le contrôle dutilisateurs pour vous aider à protéger votre ordinateur» et Valide par OK .

Un redémarrage du PC sera nécessaire.

 

2) Télécharge ELIBAGLA

3) Redémarre en mode sans échec

  • Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.
  • Sélectionne "Mode sans échec" et appuie sur [Entrée]
  • Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

/ !\Attention ne pas tenter de rentrer en mode sans échec via msconfig / !\

Si impossibilité de rentrer mode sans échec , alors passe Elibagla en mode normal.

 

4) Elibagla

  • Clique droit sur Elibagla sur ton Bureau et "Exécuter en tant qu'administrateur".
  • Assure toi que dans le menu déroulant Unidad, tu as bien C:\
  • Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente (Eliminer les fichiers infectés automatiquement) est bien cochée
  • Clique sur le bouton Explorar pour lancer l'analyse.
  • Patiente le temps du scan.
  • Lorsqu'il a terminé, fais redémarrer ton PC en mode normal et poste le contenu du fichierinfoSat.txt qui se trouve dans Poste de travail>Disque C:\

@ suivre.

Wisewise3 Mega Power Member

Wisewise3

Posté(e)
  • Auteur
Posté(e) (modifié)

Re

 

j'attendais ta réponse avant de selectionner l'une des deux options proposées.

 

Comme jai vu ta réponse, j'ai cliqué sur la croix et là j'ai eu le message d'accueil qui me dit "la version de combo....." à laquelle j'ai répondu oui et là le combo est en exécution, je laisse faire je suppose?

Il me dit quil doit redémarrer pour terminer certaines choses, ce que je fais.

Modifié par Wisewise3

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...